El malware Xenomorph para Android ha lanzado una nueva versión que añade capacidades para realizar ataques maliciosos. Entre ellas, incluye un nuevo marco de sistema de transferencia automatizado (ATS) y la capacidad de robar credenciales de hasta 400 bancos.

Xenomorph fue detectado por primera vez por ThreatFabric en febrero de 2022, que descubrió la primera versión del troyano bancario en la tienda Google Play, donde acumuló más de 50.000 descargas.

Ad

Esa primera versión se dirigía a 56 bancos europeos usando inyecciones para ataques de superposición y abusó de los permisos de los servicios de accesibilidad para interceptar notificaciones para robar códigos de un solo uso.

Sin embargo, los autores de este malware, ‘Hadoken Security’, han seguido desarrollando este malware a lo largo del pasado año, si bien sus versiones más recientes nunca se distribuyeron en grandes volúmenes.

Xenomorph v2, que se lanzó en junio de 2022, tuvo breves ráfagas de actividad. Sin embargo, contaba con una revisión completa del código, lo que la hizo más modular y flexible.

Ahora, Xenomorph v3 es mucho más madura que las versiones anteriores, capaz de robar datos automáticamente, incluidas credenciales, saldos de cuentas, realizar transacciones bancarias y finalizar transferencias de fondos.

Como apuntan desde ThreatFabric, «con estas nuevas características, Xenomorph ahora puede automatizar por completo toda la cadena de fraude, desde la infección hasta la exfiltración de fondos, lo que lo convierte en uno de los troyanos de malware para Android más avanzados y peligrosos en circulación».

Además, también advierte de la posibilidad de que Hadoken planee vender Xenomorph a los operadores a través de una plataforma MaaS (malware como servicio). El lanzamiento de un sitio web que promociona la nueva versión del malware refuerza esta hipótesis.

SharkBot troyano bancario Google Play Store apps antivirus noticia bit life media.jpg

Entidades bancarias españolas, objetivos de Xenomorph

Actualmente, Xenomorph v3 se distribuye a través de la plataforma ‘Zombinder’ en la tienda Google Play, haciéndose pasar por un conversor de moneda y cambiando a usar un icono de Play Protect después de instalar la carga maliciosa.

Esta última versión se dirige a 400 instituciones financieras, principalmente de Estados Unidos, España, Turquía, Polonia, Australia, Canadá, Italia, Portugal, Francia, Alemania, Emiratos Árabes Unidos e India.

Algunos ejemplos de instituciones objetivo incluyen BBVA, LaCaixa, Banco Santander, Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, y National Bank of Canada, entre otros.

Además, el malware apunta a 13 billeteras de criptomonedas, incluidas Binance, BitPay, KuCoin, Gemini y Coinbase.

Sorteando el múltiple factor de autenticación

La característica más notable introducida en la nueva versión de Xenomorph es el marco ATS, que permite a los ciberdelincuentes extraer credenciales automáticamente, verificar saldos de cuentas, realizar transacciones y robar dinero de aplicaciones objetivo sin realizar acciones remotas.

En su lugar, el operador simplemente envía scripts JSON que Xenomorph convierte en una lista de operaciones y las ejecuta de forma autónoma en el dispositivo infectado.

Una de las capacidades más destacadas del marco ATS es su capacidad para registrar el contenido de las aplicaciones de autenticación de terceros. Con ello consigue evitar las protecciones de múltiple factor de autenticación (MFA) que, de otro modo, bloquearían las transacciones automatizadas.

No obstante, cada vez más entidades bancarias están abandonando gradualmente el múltiple factor de autenticación basado en SMS. En su lugar, sugieren que los clientes usen aplicaciones de autenticación, por lo que es preocupante ver la capacidad de Xenomorph para acceder a estas aplicaciones en el mismo dispositivo.

Además, esta nueva versión de Xenomorph cuenta con un ladrón (stealer) de cookies que puede arrebatarlas del Administrador de cookies de Android, que almacena las correspondientes a la sesión del usuario.

El stealer abre una ventana del navegador con la URL de un servicio legítimo con la interfaz de JavaScript habilitada, engañando a la víctima para que ingrese sus datos de inicio de sesión. Los ciberdelincuentes consiguen robar las cookies, lo que les permite secuestrar las sesiones web de la víctima y hacerse con sus cuentas.

FluBot malware troyano desmantelado Android ciberseguridad smartphones noticia bit life media

Un malware preocupante

Hace un año que Xenomorph saltó al espacio del cibercrimen y, desde entonces, se ha erigido como una amenaza a la que prestar atención.

Ahora, con el lanzamiento de su tercera versión, la amenaza es mucho mayor para los usuarios de Android en todo el mundo.

Teniendo en cuenta su canal de distribución actual, Zombinder, los usuarios deben tener cuidado con las aplicaciones que instalan desde Google Play, leer bien las reseñas y verificar los antecedentes del editor.

Según los expertos de ThreatFabric, lo recomendable es que los usuarios mantengan la cantidad de aplicaciones que se ejecutan en su teléfono al mínimo posible, e instalar solo aplicaciones de proveedores conocidos y de confianza.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre