최근 보안 전문가들이 발견한 결과 미국, 캐나다, 이탈리아, 포르투갈, 스페인, 벨기에의 Android 사용자를 표적으로 삼는 악성 코드가 존재한다는 사실이 밝혀졌습니다.
Xenomorph로 알려진 이 고도로 발전된 Android 뱅킹 트로이 목마의 가해자는 25년 넘게 유럽 사용자를 대상으로 지속적으로 노력해 왔습니다. 그러나 그들은 최근 XNUMX개가 넘는 미국 금융 기관의 소비자를 포함하도록 사업을 확장했습니다.
Xenomorph가 돌아왔고, 이번 반복은 그 어느 때보다 더욱 치명적입니다. 분석가에 따르면 이제 더 심각한 위험은 100개 이상의 금융 및 암호화폐 앱으로 확산되었습니다.
피싱 전술 및 악성 코드 배포
2022년 XNUMX월부터 악성 코드의 활동을 모니터링해 온 사이버 보안 회사 ThreatFabric의 분석가에 따르면 현재 Xenomorph 캠페인은 XNUMX월 중순에 시작되었습니다.
악성코드 제작자의 최근 캠페인에는 사용자가 Chrome 브라우저를 업데이트하고 위험한 APK를 다운로드하도록 유도하는 피싱 URL이 포함되어 있습니다. 이 악성코드는 여전히 오버레이 기술을 사용하여 데이터를 수집하고 있지만 이제는 미국 은행과 다양한 암호화폐 앱을 노리고 있습니다.
ThreatFabric 분석가는 운영자의 느슨한 보안 절차를 활용하여 악성 코드 운영자의 페이로드 호스팅 인프라에 대한 액세스 권한을 얻었습니다.
현재 암호화폐의 시가총액은 1.02조XNUMX억 달러에 이른다. 차트: TradingView.com
악성 코드의 Private Loader, Windows 정보 도둑인 RisePro 및 LummaC2, Android 악성 코드 버전인 Medusa 및 Cabassous가 그곳에서 발견된 다른 유해 페이로드 중 하나였습니다.
Xenomorph의 최신 버전에서 주목할만한 특징은 손상된 장치에서 공격자가 제어하는 장치로 현금을 자동으로 이동할 수 있도록 하는 적응성이 뛰어난 고급 자동 이동 시스템(ATS) 구조와 관련이 있습니다.
Xenomorph는 은행을 쫓는다
Xenomorph 악성 코드의 ATS 엔진에는 위협 행위자가 손상된 장치를 제어하고 다양한 악성 활동을 수행할 수 있도록 하는 여러 모듈이 있습니다.
이 악성코드는 Chase, Amex, Ally, Citi Mobile, Citizens Bank, Bank of America 및 Discover Mobile 소비자를 표적으로 삼습니다. ThreatFabric 연구원들은 Bitcoin, Binance 및 Coinbase를 표적으로 삼는 새로운 트로이 목마 샘플을 발견했습니다.
Xenomorph 뱅킹 바이러스는 56년 초 화면 오버레이 피싱을 사용하는 2022개 유럽 은행을 표적으로 삼았습니다. Google Play는 이 바이러스를 50,000명 이상의 사용자에게 전달했습니다.
Hadoken 보안: 악성코드 두뇌
배후에 있는 회사인 "Hadoken Security"는 바이러스를 개선하고 2022년 10월에 모듈식의 유연한 버전을 출시했습니다. Xenomorph는 당시 상위 XNUMX대 뱅킹 트로이 목마 중 하나였으며 Zimperium의 "주요 위협"이었습니다.
인구 통계에 따라 각 Xenomorph 샘플에는 다양한 은행 및 암호화폐 앱을 대상으로 하는 약 XNUMX개의 오버레이가 있습니다.
한편, 이러한 요청은 숨겨진 스파이웨어인 경우가 많으므로 사용자는 모바일 브라우저를 업그레이드하라는 메시지를 받을 때 주의를 기울여야 합니다.
Bleeping Computer의 주요 이미지
출처: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/