kingoftf
Ehrenmitglied
- 47.214
Im Februar 2022 stieß ThreatFabric auf einen neuen Android-Bankentrojaner, den wir Xenomorph tauften. Der Name kommt von seiner klaren Verbindung zu einem anderen berüchtigten Banking-Trojaner, Alien, von dem Xenomorph Klassennamen und interessante Zeichenfolgen übernimmt.
Den gesammelten Informationen zufolge gehören Nutzer von 56 verschiedenen europäischen Banken zu den Zielen dieses neuen Android-Malware-Trojaners, der über den offiziellen Google Play Store mit mehr als 50.000 Installationen verbreitet wird.
Genau wie der Monster-Protagonist des berühmten Ridley Scott-Franchise hat diese Malware einige Aspekte mit ihrem Vorgänger gemeinsam. Doch trotz der offensichtlichen Verbindungen zu einer der am weitesten verbreiteten Malware der letzten zwei Jahre unterscheidet sich Xenomorph in seinen Funktionen grundlegend von Alien. Diese Tatsache sowie das Vorhandensein nicht implementierter Funktionen und die umfangreiche Protokollierung der Malware könnten darauf hindeuten, dass es sich bei dieser Malware um das in Arbeit befindliche neue Projekt entweder der für Alien verantwortlichen Akteure oder zumindest von jemandem handelt, der mit dessen Codebasis vertraut ist. Dies ist jedoch im Moment nur eine Spekulation.
Verbreitung
Wie wir bereits besprochen haben, konzentrieren sich Bedrohungsakteure zunehmend darauf, sich in den Google Play Store einzuschleichen (MITRE T1475).
Google hat offenbar einige Maßnahmen ergriffen, um die Anzahl bösartiger Anwendungen auf dem App-Markt zu verringern, aber oft reichen diese Bemühungen nicht aus, um zu verhindern, dass Kriminelle den Store erreichen. Im Rahmen unserer täglichen Bedrohungsjagd stoßen die Analysten von ThreatFabric auf bösartige Anwendungen im Store und melden diese an Google.
Eine der Anwendungen, die ThreatFabric entdeckte, gab sich als "Fast Cleaner" aus, eine Anwendung, die das Gerät beschleunigen soll, indem sie ungenutzten Ballast entfernt und die Batterieoptimierung blockiert. Die Anwendung selbst schien erfolgreich zu sein, denn auf Google Play wurden mehr als 50.000 Installationen gemeldet. Dies ist keine ungewöhnliche Verlockung, und wir haben gesehen, dass Malware-Familien wie Vultur und Alien durch solche Anwendungen verbreitet werden.
Xenomorph: A newly hatched Banking Trojan — ThreatFabric
Den gesammelten Informationen zufolge gehören Nutzer von 56 verschiedenen europäischen Banken zu den Zielen dieses neuen Android-Malware-Trojaners, der über den offiziellen Google Play Store mit mehr als 50.000 Installationen verbreitet wird.
Genau wie der Monster-Protagonist des berühmten Ridley Scott-Franchise hat diese Malware einige Aspekte mit ihrem Vorgänger gemeinsam. Doch trotz der offensichtlichen Verbindungen zu einer der am weitesten verbreiteten Malware der letzten zwei Jahre unterscheidet sich Xenomorph in seinen Funktionen grundlegend von Alien. Diese Tatsache sowie das Vorhandensein nicht implementierter Funktionen und die umfangreiche Protokollierung der Malware könnten darauf hindeuten, dass es sich bei dieser Malware um das in Arbeit befindliche neue Projekt entweder der für Alien verantwortlichen Akteure oder zumindest von jemandem handelt, der mit dessen Codebasis vertraut ist. Dies ist jedoch im Moment nur eine Spekulation.
Verbreitung
Wie wir bereits besprochen haben, konzentrieren sich Bedrohungsakteure zunehmend darauf, sich in den Google Play Store einzuschleichen (MITRE T1475).
Google hat offenbar einige Maßnahmen ergriffen, um die Anzahl bösartiger Anwendungen auf dem App-Markt zu verringern, aber oft reichen diese Bemühungen nicht aus, um zu verhindern, dass Kriminelle den Store erreichen. Im Rahmen unserer täglichen Bedrohungsjagd stoßen die Analysten von ThreatFabric auf bösartige Anwendungen im Store und melden diese an Google.
Eine der Anwendungen, die ThreatFabric entdeckte, gab sich als "Fast Cleaner" aus, eine Anwendung, die das Gerät beschleunigen soll, indem sie ungenutzten Ballast entfernt und die Batterieoptimierung blockiert. Die Anwendung selbst schien erfolgreich zu sein, denn auf Google Play wurden mehr als 50.000 Installationen gemeldet. Dies ist keine ungewöhnliche Verlockung, und wir haben gesehen, dass Malware-Familien wie Vultur und Alien durch solche Anwendungen verbreitet werden.
Xenomorph: A newly hatched Banking Trojan — ThreatFabric