威胁全球400多家银行的金融木马
近日,针对安卓系统的银行木马Xenomorph发布第三个版本,攻击力大增,其全新的自动转账系统(ATS)框架可以窃取全球400多家银行的用户账户。更可怕的是,该木马可以绕过包括身份验证器在内的多因素认证方法。
最先进、最危险的木马之一
2022年2月,ThreatFabric首次在Google Play应用商店中发现了Xenomorph的第一个版本,累计下载量超过了5万次。
Xenomorph的第一个版本使用注入方法对56家欧洲银行进行覆盖攻击,并滥用可访问性服务权限来执行通知拦截,以窃取一次性口令。
整个2022年,Xenomorph的作者“Hadoken Security”都在持续开发,但新版本的分发量很少。
虽然2022年6月份发布的第二版Xenomorph v2经历了大幅度的代码重构,更加模块化和灵活,但是“雷声大雨点小”,在野外只有短暂的测试活动。
但不久前发布的Xenomorph第三个版本引起了网络安全业界的警惕,该版本比以前的版本更加强大和成熟,能够自动窃取数据,包括凭据、账户余额、执行银行交易和完成资金转账。
“有了这些新功能,Xenomorph现在能够完成从感染到资金泄露的整个欺诈链的自动化,这使其成为在野外流通的最先进和最危险的Android恶意软件木马之一。”ThreatFabric警告说。
通过MaaS模式挣钱
ThreatFabric报告称,Hadoken很可能计划通过MaaS(恶意软件即服务)平台向网络犯罪组织出售Xenomorph,并且还推出一个推广新版恶意软件的网站(下图)。
目前,Xenomorph v3版本正通过Google Play商店的“Zombinder”平台进行分发,冒充货币转换器,并在用户安装恶意负载后切换到Play Protect图标。
威胁全球400多家银行
最新版本的Xenomorph针对全球400家金融机构,主要分布在美国、西班牙、土耳其、波兰、澳大利亚、加拿大、意大利、葡萄牙、法国、德国、阿联酋和印度。
目标银行的国家分布 数据来源:ThreatFabric
Xenomorph的目标包括大通、花旗银行、美国运通、ING、汇丰银行、德意志银行、富国银行、美国运通、法国巴黎银行、联合信贷、加拿大国家银行、西班牙广播银行、桑坦德银行和凯克萨银行。
ThreatFabric在其报告(链接在文末)的附录中列出了所有400家目标银行。
此外,Xenomorph还可攻击多达13个加密货币钱包,包括币安、BitPay、KuCoin、Gemini和Coinbase。
自动绕过多因素认证
新版Xenomorph最引人注目的新功能是ATS框架,能为网络犯罪分子自动提取受害者账户凭据,检查账户余额,进行交易以及从目标应用程序中窃取资金,而无需执行远程操作。操作员只需发送JSON脚本,Xenomorph将其转换为操作列表,并在受感染的设备上自主执行操作。
“Xenomorph的ATS执行引擎在竞争中脱颖而出,这主要是因为ATS脚本支持添加大量可编程操作,此外还提供一个允许条件执行和操作优先级的系统。”ThreatFabrics研究人员解释说。
Xenomorph的ATS框架最危险也令人印象深刻的功能是:能够记录第三方身份验证应用程序的验证码,从而绕过MFA(多因素身份验证)保护。
Xenomorph恶意软件能够提取谷歌身份验证器中的动态验证码 来源:ThreatFabric
如今,全球越来越多的银行开始放弃不安全的短信多因素认证,转而建议客户使用身份验证器程序,但Xenomorph的新版本使得(同一部安卓手机安装的)身份验证器也变得不安全了。
Cookies窃取器
除此之外,新版Xenomorph还包含一个cookie窃取器,可以从安卓系统负责存储用户会话cookie的CookieManager中抓取cookie。
窃取器会启动一个浏览器窗口,其中包含启用了JavaScript界面的合法服务的URL,诱骗受害者输入登录详细信息。
通过窃取用户的cookie,攻击者可以劫持受害者的网络会话并接管他们的账户。
安全建议
虽然进入网络犯罪领域仅一年,但Xenomorph已经成为最危险的新恶意软件之一。
随着第三个版本的发布,Xenomorph对全球安卓手机用户的威胁大增。
除了需要降低对Google Play商店的信任外,安卓用户还需要意识到,基于身份验证器的多因素认证也未必靠谱,在安卓手机上已经可以被恶意软件绕过(建议将身份验证器程序和银行客户端程序安装在不同的设备上)。
最后,建议用户采用“最少可用原则”,手机上运行的应用程序数量尽可能少,并且仅安装值得信赖的供应商的应用程序。
报告连接:
https://www.threatfabric.com/blogs/xenomorph-v3-new-variant-with-ats.html