高危木马Xenomorph曝光：专门窃取用户银行凭证

本月早些时候，高危光专ThreatFabric 安全研究人员发现了一个危险程度很高的木马门窃新木马 -- Xenomorph。该木马和 2020 年秋季开始流行的取用 Alien 恶意软件存在关联。虽然相关代码和 Alien 相似，行凭但是高危光专 Xenomorph 恶意软件的破坏力要强得多。

据 ThreatFabric 称，木马门窃超过 5 万名 Android 用户安装了一个包含银行应用程序恶意软件的取用恶意应用程序。据报道，行凭该恶意软件背后的高危光专威胁者正针对欧洲 56 家不同银行的用户。

正如 ThreatFabric 所指出的木马门窃，黑客们总是取用在寻找新的方法，通过 Google Play 商店分发恶意软件。行凭Google 正在反击，高危光专但黑客似乎总是木马门窃领先一步。最近的取用一个邪恶的例子是香港云服务器“Fast Cleaner”应用程序。它声称能够通过清除杂乱无章的东西来加快 Android 手机的速度。但实际上，Fast Cleaner 是 Xenomorph 银行应用程序恶意软件的一个投放器。

以下是 ThreatFabric 分析该应用程序后发现的情况：

经过分析，我们认识到这个应用程序属于 Gymdrop 投放器系列。Gymdrop 是 ThreatFabric 在 2021 年 11 月发现的一个投放器家族。之前它被观察到部署了 Alien.A 的有效载荷。

从该投放器下载的配置中，ThreatFabric 能够确认该投放器家族继续采用该恶意软件家族作为其有效载荷。然而，与过去不同的是，托管恶意代码的服务器还包含另外两个恶意软件家族，根据特定的亿华云触发器，它们也被返回，而不是 Alien。

ThreatFabric 说，Xenomorph仍在开发中，但破坏力已经显现。该恶意软件的主要目标是使用覆盖式攻击来窃取银行应用程序的凭证。它还可以拦截短信和通知，以记录和使用 2FA 令牌。ThreatFabric 还指出，Xenomorph 被设计成“可扩展和可更新的”。

ThreatFabric 的安全研究人员在文章中表示：“这种恶意软件的记录能力所存储的信息非常广泛。如果发回 C2 服务器，可用于实施键盘记录，以及收集受害者和已安装应用程序的行为数据，即使它们不属于目标列表”。