Malware Android Xenomorph telah merilis versi baru yang menambahkan kemampuan signifikan untuk melakukan serangan jahat, termasuk kerangka kerja sistem transfer otomatis (ATS) baru dan kemampuan mencuri kredensial untuk 400 bank.
Xenomorph pertama kali ditemukan oleh ThreatFabric pada Februari 2022, yang menemukan versi pertama trojan perbankan di Google Play Store, tempat ia mengumpulkan lebih dari 50.000 unduhan.
Versi pertama itu menargetkan 56 bank Eropa menggunakan suntikan untuk serangan overlay dan menyalahgunakan izin Layanan Aksesibilitas untuk melakukan penyadapan notifikasi guna mencuri kode sekali pakai.
Pengembangan malware berlanjut sepanjang tahun 2022 oleh penulisnya, “Hadoken Security”, tetapi rilis terbarunya tidak pernah didistribusikan dalam jumlah besar.
Sebaliknya, Xenomorph v2, yang dirilis pada Juni 2022, hanya memiliki aktivitas pengujian singkat di alam bebas. Namun, versi kedua terkenal karena perombakan kodenya yang lengkap, yang membuatnya lebih modular dan fleksibel.
Xenomorph v3 jauh lebih mumpuni dan matang dari versi sebelumnya, mampu mencuri data secara otomatis, termasuk kredensial, saldo rekening, melakukan transaksi perbankan, dan menyelesaikan transfer dana.
“Dengan fitur-fitur baru ini, Xenomorph sekarang dapat menyelesaikan otomatisasi seluruh rantai penipuan, dari infeksi hingga eksfiltrasi dana, menjadikannya salah satu trojan Android Malware paling canggih dan berbahaya yang beredar,” ThreatFabric memperingatkan.
Laporan ThreatFabric bahwa kemungkinan Hadoken berencana untuk menjual Xenomorph ke operator melalui platform MaaS (malware sebagai layanan), dan peluncuran situs web yang mempromosikan versi baru malware memperkuat hipotesis ini.
Saat ini, Xenomorph v3 sedang didistribusikan melalui Platform ‘Zombinder’ di Google Play store, berpura-pura sebagai pengonversi mata uang dan beralih menggunakan ikon Play Protect setelah memasang muatan berbahaya.
Target Xenomorph baru
Versi terbaru Xenomorph menargetkan 400 lembaga keuangan, terutama dari Amerika Serikat, Spanyol, Turki, Polandia, Australia, Kanada, Italia, Portugal, Prancis, Jerman, UEA, dan India.
Beberapa contoh institusi yang ditargetkan termasuk Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, National Bank of Canada, BBVA, Santander, dan Caixa.
Daftarnya terlalu luas untuk dimasukkan di sini, tetapi ThreatFabric telah mencantumkan semua bank yang ditargetkan dalam lampiran laporannya.
Selain itu, malware tersebut menargetkan 13 dompet cryptocurrency, termasuk Binance, BitPay, KuCoin, Gemini, dan Coinbase.
Pintasan MFA otomatis
Fitur paling menonjol yang diperkenalkan dalam versi Xenomorph baru adalah kerangka kerja ATS, yang memungkinkan penjahat dunia maya mengekstrak kredensial secara otomatis, memeriksa saldo rekening, melakukan transaksi, dan mencuri uang dari aplikasi target tanpa melakukan tindakan jarak jauh.
Sebagai gantinya, operator hanya mengirimkan skrip JSON yang diubah Xenomorph menjadi daftar operasi dan mengeksekusinya secara mandiri pada perangkat yang terinfeksi.
“Itu [ATS execution] mesin yang digunakan oleh Xenomorph menonjol dari pesaingnya berkat banyaknya pilihan tindakan yang mungkin dapat diprogram dan dapat dimasukkan dalam skrip ATS, selain sistem yang memungkinkan eksekusi bersyarat dan prioritas tindakan,” jelas peneliti ThreatFabrics.
Salah satu kemampuan yang paling mengesankan dari kerangka ATS malware adalah kemampuannya untuk mencatat konten aplikasi autentikasi pihak ketiga, mengalahkan perlindungan MFA (autentikasi multi-faktor) yang sebaliknya akan memblokir transaksi otomatis.
Bank secara bertahap meninggalkan MFA SMS dan malah menyarankan agar pelanggan menggunakan aplikasi autentikator, jadi melihat kemampuan Xenomorph untuk mengakses aplikasi ini di perangkat yang sama sangat mengganggu.
Pencuri kue
Selain hal di atas, Xenomorph baru menampilkan pencuri cookie yang dapat merebut cookie dari Android CookieManager, yang menyimpan cookie sesi pengguna.
Pencuri meluncurkan jendela browser dengan URL layanan resmi dengan antarmuka JavaScript diaktifkan, menipu korban untuk memasukkan detail login mereka.
Pelaku ancaman mencuri cookie, yang memungkinkan untuk membajak sesi web korban dan mengambil alih akun mereka.
Malware Android yang perlu dikhawatirkan
Xenomorph adalah malware baru terkenal yang memasuki ruang kejahatan dunia maya setahun yang lalu.
Sekarang, dengan dirilisnya versi utama ketiganya, ini merupakan ancaman yang jauh lebih besar bagi pengguna Android di seluruh dunia.
Mempertimbangkan saluran distribusinya saat ini, Zombinder, pengguna harus berhati-hati dengan aplikasi yang mereka pasang dari Google Play, membaca ulasan, dan menjalankan pemeriksaan latar belakang penerbit.
Secara umum, disarankan untuk meminimalkan jumlah aplikasi yang berjalan di ponsel Anda dan hanya menginstal aplikasi dari vendor yang dikenal dan tepercaya.
