È stata avvistata una nuova variante di Xenomorph, il banking trojan per Android che già a marzo di quest’anno aveva preso di mira gli istituti finanziari di tutto il mondo, anche quelli italiani.
A differenza del passato, però, gli attori della minaccia sfruttano ora pagine web di phishing progettate per indurre le vittime a installare applicazioni Android dannose sui dispositivi delle vittime.
Anche la nuova variante di Xenomorph abusa dei servizi di accessibilità di Android per eseguire frodi attraverso attacchi overlay che consentono di visualizzare schermate di accesso false sopra quelle legittime delle app di home banking.
I ricercatori di sicurezza di ThreatFabric hanno però scoperto che gli attaccanti, per i loro attacchi overlay, si sono concentrati in particolare sui moduli che supportano i dispositivi Samsung e Xiaomi: una scelta “tattica” che potrebbe essere giustificata dal fatto che i dispositivi venduti di questi due produttori insieme rappresentano circa il 50% dell’intera quota di mercato di Android.
Come nelle precedenti varianti, anche la nuova versione di Xenomorph abusa dei servizi di accessibilità gli consente per ottenere tutti i permessi necessari per funzionare senza ostacoli sui dispositivi compromessi.
Indice degli argomenti
Le precedenti varianti di Xenomorph
La variante di Xenomorph identificata lo scorso mese di marzo era stata attribuita al gruppo criminale Hadoken Security, che già l’anno scorso aveva preso di mira migliaia di clienti di istituti finanziari in tutto il mondo, Italia compresa.
Secondo i ricercatori di ThreatFabric che avevano identificato le attività criminali di Xenomorph 3rd generation (questo il nome completo del trojan bancario), il malware aveva già aggiunto al suo arsenale nuove capacità di attacco che consentivano agli attori della minaccia di condurre attacchi ancora più dannosi rispetto al passato.
Tra queste, un nuovo framework presente anche nell’ultima variante di Xenomorph che consente il funzionamento di un sistema per il trasferimento automatico (ATS) di dati e la capacità di rubare le credenziali di 400 istituzioni bancarie e finanziarie, 19 localizzate nel nostro Paese: tra queste Unicredit, Banca Sella, Postepay e Intesa Sanpaolo.
A rischio attacco anche diversi portafogli di criptovalute compresi quelli su Binance e Coinbase.
I dettagli del trojan bancario Xenomorph
Dall’analisi dei campioni di Xenomorph isolati dai ricercatori di ThreatFabric, il malware è in grado di automatizzare la catena di frode per rubare i dati delle vittime, comprese le credenziali di accesso ai servizi di banking online e i saldi dei conti correnti, ma anche di eseguire transazioni bancarie e finalizzare le operazioni di trasferimento fondi.
Secondo i ricercatori, inoltre, è molto probabile che, viste queste particolari caratteristiche tecniche, i criminali venderanno o abbiano già venduto Xenomorph ad altri attori delle minacce come piattaforma MaaS (Malware as a Service).
Le precedenti versioni di Xenomorph sembravano essere distribuite tramite la Content Delivery Network (CDN) di Discord, nascosto in app infette sul Google Play Store. Due di queste erano:
- Play Protect (com.great.calm)
- Play Protect (meritoriousness.mollah.presser)
il cui nome richiama volutamente quello del servizio legittimo di Google usato proprio per il controllo di app malevoli distribuite tramite lo store ufficiale per Android.
Così come nelle precedenti varianti, anche l’ultima variante di Xenomorph abusa dei servizi di accessibilità di Android per eseguire frodi attraverso attacchi overlay che consentono di visualizzare schermate di accesso false sopra quelle legittime delle app di home banking.
Inoltre, grazie al nuovo framework per il trasferimento automatico dei dati, Xenomorph è in grado di estrarre i codici univoci dei sistemi di accesso a doppia autenticazione (2FA).
Nell’arsenale malevolo di Xenomorph anche una nuova funzionalità per il furto dei cookie, che consente agli attori delle minacce di eseguire attacchi mirati per l’acquisizione degli account delle vittime.
In particolare, il malware visualizza una finestra del browser con l’URL di un servizio di home banking legittimo con l’interfaccia JavaScript abilitata, inducendo la vittima a inserire i propri dati di accesso.
In questo modo riesce a rubare il cookie e dirottare le sessioni Web della vittima per impadronirsi dei suoi account.
I consigli per mitigare il rischio
Come abbiamo visto, il continuo sviluppo delle funzionalità tecniche ha reso Xenomorph una delle minacce più gravi per gli utenti Android.
Purtroppo, la nuova variante del malware non è ancora riconosciuta da molti antivirus, per cui è importante essere cauti nello scaricare e installare app dal Google Play Store o da siti web non certificati.
Un buon consiglio di mitigazione della minaccia, sempre valido a prescindere dalle app che si installano sul proprio smartphone, è quello di leggere attentamente le recensioni pubblicate dagli altri utenti ed eseguire controlli sull’attendibilità dello sviluppatore.
In generale, infine, è consigliabile ridurre al minimo il numero di app in esecuzione sul telefono e installare solo app di fornitori noti e affidabili.
Articolo aggiornato in seguito alla scoperta della nuova variante di Xenomorph.
Articolo originariamente pubblicato il 10 Mar 2023
