Il gruppo criminale Hadoken Security ha rilasciato una nuova variante di Xenomorph, il banking trojan per Android che già l’anno scorso aveva preso di mira migliaia di clienti di istituti finanziari in tutto il mondo, Italia compresa.
Secondo i ricercatori di ThreatFabric che hanno identificato le attività criminali di Xenomorph 3rd generation (questo il nome completo), il malware ha aggiunto al suo arsenale nuove capacità di attacco che consentono agli attori della minaccia di condurre attacchi ancora più dannosi rispetto al passato.
Tra queste, un nuovo framework che consente il funzionamento di un sistema per il trasferimento automatico (ATS) di dati e la capacità di rubare le credenziali di 400 istituzioni bancarie e finanziarie, 19 localizzate nel nostro Paese: tra queste Unicredit, Banca Sella, Postepay e Intesa Sanpaolo.
A rischio attacco anche diversi portafogli di criptovalute compresi quelli su Binance e Coinbase.

Indice degli argomenti
I dettagli del trojan bancario Xenomorph
Dall’analisi dei campioni del malware isolati dai ricercatori di ThreatFabric, la terza variante di Xenomorph è in grado di automatizzare la catena di frode per rubare i dati delle vittime, comprese le credenziali di accesso ai servizi di banking online e i saldi dei conti correnti, ma anche di eseguire transazioni bancarie e finalizzare le operazioni di trasferimento fondi.
Secondo i ricercatori, inoltre, è molto probabile che, viste queste particolari caratteristiche tecniche, i criminali del gruppo Hadoken venderanno Xenomorph ad altri attori delle minacce come piattaforma MaaS (Malware as a Service).
Xenomorph sembrerebbe essere distribuito tramite la Content Delivery Network (CDN) di Discord, nascosto in app infette sul Google Play Store. Due di queste sono:
- Play Protect (com.great.calm)
- Play Protect (meritoriousness.mollah.presser)
il cui nome richiama volutamente quello del servizio legittimo di Google usato proprio per il controllo di app malevoli distribuite tramite lo store ufficiale per Android.
Così come nelle precedenti varianti, anche Xenomorph abusa dei servizi di accessibilità di Android per eseguire frodi attraverso attacchi overlay che consentono di visualizzare schermate di accesso false sopra quelle legittime delle app di home banking.
Inoltre, grazie al nuovo framework per il trasferimento automatico dei dati, Xenomorph v3 è in grado di estrarre i codici univoci dei sistemi di accesso a doppia autenticazione (2FA).
Nell’arsenale malevolo di Xenomorph anche una nuova funzionalità per il furto dei cookie, che consente agli attori delle minacce di eseguire attacchi mirati per l’acquisizione degli account delle vittime.
In particolare, il malware visualizza una finestra del browser con l’URL di un servizio di home banking legittimo con l’interfaccia JavaScript abilitata, inducendo la vittima a inserire i propri dati di accesso.
In questo modo riesca a rubare il cookie e dirottare le sessioni Web della vittima per impadronirsi dei suoi account.
I consigli per mitigare il rischio
Come abbiamo visto, il continuo sviluppo delle funzionalità tecniche ha reso Xenomorph una delle minacce più gravi per gli utenti Android.
Purtroppo, il malware non è ancora riconosciuto da molti antivirus, per cui è importante essere cauti nello scaricare e installare app dal Google Play Store.
Un buon consiglio di mitigazione della minaccia, sempre valido a prescindere dalle app che si installano sul proprio smartphone, è quello di leggere attentamente le recensioni pubblicate dagli altri utenti ed eseguire controlli sull’attendibilità dello sviluppatore.
In generale, infine, è consigliabile ridurre al minimo il numero di app in esecuzione sul telefono e installare solo app di fornitori noti e affidabili.
@RIPRODUZIONE RISERVATA