Sự kiện ngày hôm nay là việc phần mềm độc hại Xenomorph đang nhắm vào ngân hàng và ứng dụng tiền điện tử ở Canada và các khu vực khác #Xenomorph #sựkienngayhomnay
Các nhà nghiên cứu an ninh tại công ty an ninh mạng ThreatFabric đã phát hiện ra một chiến dịch mới sử dụng phần mềm độc hại ‘Xenomorph’ trên Android.
Chiến dịch này nhắm vào người dân ở Mỹ, Canada, Tây Ban Nha và các khu vực khác, và Xenomorph sử dụng các giao diện chồng lên nhau giống các tổ chức tài chính để đánh cắp thông tin đăng nhập ngân hàng của mọi người. Nó cũng nhắm vào ví tiền điện tử.
Bleeping Computer đưa tin về các phát hiện của ThreatFabric, cung cấp một tóm tắt ngắn về lịch sử của Xenomorph kể từ khi nó xuất hiện vào năm 2022. Phần mềm độc hại này đã trải qua một số phiên bản và chiến dịch mới nhất sử dụng nó cố gắng cài đặt nó vào các thiết bị bằng cách lừa người dùng tải xuống bản cập nhật Chrome giả mạo. Một cửa sổ pop-up cảnh báo người dùng rằng họ đang sử dụng phiên bản cũ của Google Chrome và khuyến khích họ cập nhật trình duyệt. Tuy nhiên, nếu người dùng nhấp vào nút cập nhật của cửa sổ pop-up, nó sẽ cài đặt phần mềm độc hại Xenomorph thay vì cập nhật Chrome.
Phần quan trọng nhất đối với người dùng Android là tránh cài đặt các bản cập nhật Chrome – hoặc bất cứ thứ gì liên quan – từ các cửa sổ pop-up trên trang web. Đối với đa số người dùng Android, các cập nhật từ Chrome và các ứng dụng khác sẽ đến từ Play Store và chỉ từ Play Store.
Khi đã cài đặt, ThreatFabric nói rằng Xenomorph sử dụng ‘giao diện chồng’ để đánh cắp thông tin. Phần mềm độc hại này đi kèm với khoảng 100 giao diện chồng nhắm vào các nhóm ngân hàng và ứng dụng tiền điện tử khác nhau tùy thuộc vào khu vực nhắm mục tiêu.
Hơn nữa, các phiên bản gần đây của Xenomorph bao gồm các tính năng mới để nâng cao. Điều đó bao gồm tính năng “mô phỏng” cho phép phần mềm độc hại hoạt động như một ứng dụng khác. Mô phỏng bao gồm một hoạt động có tên là ‘IDLEActivity’, có thể hoạt động như một WebView để hiển thị nội dung web chính hiệu. Những khả năng này thay thế cho việc phần mềm độc hại phải ẩn biểu tượng khỏi màn hình chính sau khi cài đặt, hành vi có thể bị công cụ bảo mật đánh dấu là nghi ngờ.
Xenomorph cũng có tính năng ‘ClickOnPoint’ cho phép người điều hành phần mềm độc hại mô phỏng việc nhấp vào các phần cụ thể trên màn hình. Điều đó cho phép người điều hành di chuyển qua các màn hình xác nhận hoặc thực hiện các hành động đơn giản khác mà không gây ra cảnh báo bảo mật.
Tính năng cuối cùng mà các nhà nghiên cứu tìm thấy là một công cụ ‘antisleep’ để ngăn thiết bị tắt màn hình.
Hình ảnh chủ đề: Shutterstock
Nguồn: Bleeping Computer
Security researchers at cybersecurity company ThreatFabric discovered a new campaign leveraging the ‘Xenomorph’ malware on Android.
The campaign targets people in the U.S., Canada, Spain and other regions, and Xenomorph uses overlays that look like various financial institutions to steal peoples’ banking credentials. It also targets cryptocurrency wallets.
Bleeping Computer reported on ThreatFabric’s findings, offering a brief overview of Xenomorph’s history since it appeared in 2022. The malware has gone through a few revisions, and the newest campaign using it tries to get it onto devices by tricking people into downloading a fake Chrome update. A pop-up warns people that they’re using an outdated version of Google Chrome and encourages them to update the browser. However, if people tap the pop-up’s update button, it installs the Xenomorph malware instead.
The main takeaway for Android users should be to avoid installing Chrome updates — or anything for that matter — from a website pop-up. For the vast majority of Android users, updates from Chrome and other apps will come via the Play Store and only the Play Store.
Once installed, ThreatFabric says Xenomorph uses ‘overlays’ to steal information. The malware comes loaded with roughly 100 overlays targeting different sets of banks and crypto apps depending on the targeted region.
Moreover, the recent versions of Xenomorph include new features to enhance it. That includes a ‘mimic’ feature that gives the malware the ability to act as another application. Mimic includes a built-in activity called ‘IDLEActivity,’ which can act as a WebView to show legitimate web content. These capabilities replace the need for the malware to hide icons from the app launcher after installation, behaviour that can be flagged as suspicious by security tools.
Xenomorph also has a ‘ClickOnPoint’ feature that allows the malware’s operators to simulate taps on specific parts of the screen. That allows operators to move past confirmation screens or perform other simple actions without triggering security warnings.
The last new feature researchers found was an ‘antisleep’ tool to prevent a device from switching off its screen.
Header image credit: Shutterstock
Source: Bleeping Computer
[ad_2]
