Skadevare er i ferd med å bli en betydelig trussel også på de mobile plattformene, og nå rapporteres det om en potensielt svært destruktiv Android-skadevare det er verdt å være oppmerksom på.
Det nederlandske sikkerhetsselskapet Threatfabric la nylig ut en analyse og beskrivelse av en Android-skadevare døpt «Xenomorph» – en banktrojaner som den siste tiden har fått mange nye, farlige egenskaper.
Retter seg mot 400 banker
Ifølge Threatfabric har Xenomorph vært under utvikling gjennom mesteparten av fjoråret, og nå har selskapet oppdaget en ny og mer potent variant av skadevarefamilien. Den benytter seg av relativt kortvarige distribusjonskampanjer, som har gjort den vanskeligere å oppdage.
Xenomorph-familien, som Threatfabric omtalte allerede for et års tid siden. er banktrojanere som brukes til å stjele bankdata og andre sensitive, finansielle data. Den har en lang rekke egenskaper, deriblant «overlay»-funksjonalitet, hvor ofrene lures til å gi fra seg data via falske vinduer fra tilsynelatende legitime institusjoner, som nettopp banker.
Den har også «keylogging»-egenskaper og kan avskjære SMS-meldinger og varslinger for å registrere og bruke data relatert til totrinnsverifisering. Tyveri av informasjonskapsler (cookies) er en annen egenskap skadevaren skilter med.
Da sikkerhetsselskapet først meldte om skadevaren, rettet den seg mot kundene hos til sammen 56 europeiske banker, men med denne nye varianten har antallet banker økt til hele 400 banker – i tillegg til et antall kryptovaluta-lommebøker.
Threatfabric har vedlagt en liste over bankene, og på listen finner man blant annet den danske utgaven av mobilappen til den store, nordiske banken Nordea.
– En av de farligste i sirkulasjon
Den nye varianten av skadevaren har også implementert et omfattende ATS-rammeverk (automated transfer system) ved hjelp av Androids tilgjengelighetstjenester (Accessibility Services).
– Med disse nye egenskapene er Xenomorph nå i stand til fullstendig å automatisere hele svindelkjeden, fra infeksjon til eksfiltrering av midler, som gjør den til en av de mest avanserte og farlige Android-trojanerne i sirkulasjon, skriver Threatfabric.
Ifølge sikkerhetsselskapet benytter skadevaren flere ulike distribusjonsteknikker for å spre seg, deriblant en tjeneste som heter Zombinder. Dette er en tjeneste tilgjengelig på det mørke nettet som gjør det mulig å «binde» ondsinnet programvare til legitime Android-applikasjoner for å lure ofre til å laste den ned.
Bakmennene bruker også Discord CDN (Content Delivery Network) til å spre Xenomorph, i likhet med mye annen skadevare.
I den tidlige fasen ble mange av appene infisert med Xenomorph distribuert på Google Play Store, og Threatfabric sier de forventer en kraftig oppblomstring av skadevaren på app-butikken i tiden fremover.
Mer informasjon om den nye Android-trusselen finner du i sikkerhetsselskapets tekniske analyse.