10 mars 2023Ravie LakshmananSécurité mobile / Android

Cheval De Troie Bancaire Android Xenomorph

Une nouvelle variante du cheval de Troie bancaire Android nommée Xenomorph a fait surface dans la nature, révèlent les dernières découvertes de ThreatFabric.

Nommé « Xénomorphe 3e génération » par Hadoken Security Group, l’acteur de la menace à l’origine de l’opération, la version mise à jour est livrée avec de nouvelles fonctionnalités qui lui permettent d’effectuer une fraude financière de manière transparente.

« Cette nouvelle version du malware ajoute de nombreuses nouvelles fonctionnalités à un banquier Android déjà riche en fonctionnalités, notamment l’introduction d’un moteur d’exécution très étendu alimenté par les services d’accessibilité, qui est utilisé par les acteurs pour mettre en œuvre un cadre ATS complet », a déclaré le Néerlandais. entreprise de sécurité a dit dans un rapport partagé avec The Hacker News.

Xenomorph est apparu pour la première fois il y a un an en février 2022, lorsqu’il a été découvert qu’il ciblait 56 banques européennes via des applications de compte-gouttes publiées sur le Google Play Store.

Publicité

En revanche, la dernière itération du banquier – qui dispose d’un site Web dédié annonçant ses fonctionnalités – est conçue pour cibler plus de 400 institutions bancaires et financières, dont plusieurs portefeuilles de crypto-monnaie.

Cheval De Troie Bancaire Android Xenomorph

ThreatFabric a déclaré avoir détecté des échantillons distribués via le réseau de distribution de contenu (CDN) de Discord, une technique qui a assisté à une poussée depuis 2020. Deux des applications Xenomorph sont répertoriées ci-dessous –

  • Jouer à Protect (com.great.calm)
  • Play Protect (méritoire.mollah.presser)

« Xenomorph v3 est déployé par une application Zombinder » liée « à un convertisseur de devises légitime, qui télécharge en tant que » mise à jour « une application se faisant passer pour Google Protect », a expliqué ThreatFabric.

Zombinder fait référence à un service de liaison APK annoncé sur le dark web depuis mars 2022, dans lequel le malware est diffusé via des versions trojanisées d’applications légitimes. L’offre a depuis été fermée.

Les cibles de la dernière campagne vont au-delà de son objectif européen (c’est-à-dire l’Espagne, l’Italie et le Portugal) pour inclure les entités financières belges et canadiennes.

SÉMINAIRE EN LIGNE

Découvrez les dangers cachés des applications SaaS tierces

Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la manière de minimiser les risques.

RÉSERVEZ VOTRE PLACE

Xenomorph, comme les logiciels malveillants bancaires, est connu pour abuser des services d’accessibilité pour commettre des fraudes par le biais d’attaques par superposition. Il intègre également des fonctionnalités permettant d’effectuer automatiquement des transactions frauduleuses sur des appareils infectés, une technique appelée système de transfert automatisé (ATS).

Cheval De Troie Bancaire Android Xenomorph

Alors que les banques abandonnent les SMS pour l’authentification à deux facteurs (2FA) pour les applications d’authentification, le cheval de Troie Xenomorph intègre un module ATS qui lui permet de lancer l’application et d’extraire les codes d’authentification.

Le malware Android se vante en outre de fonctions de vol de cookies, permettant aux acteurs de la menace d’effectuer des attaques de prise de contrôle de compte.

« Avec ces nouvelles fonctionnalités, Xenomorph est désormais capable d’automatiser complètement toute la chaîne de fraude, de l’infection à l’exfiltration de fonds, ce qui en fait l’un des chevaux de Troie Android Malware les plus avancés et les plus dangereux en circulation », a déclaré la société.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentHP continue de mettre à jour ses imprimantes pour bloquer les cartouches d’encre tierces
Article suivantDebbie du fiancé des 90 jours sur la « folie » d’Oussama et s’ils ont été intimes (exclusif)
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici