Xenomorph Android Malware
Un potente troyano bancario para Android ha logrado infiltrarse en Google Play Store e infectar más de 50 000 dispositivos, a pesar de que todavía está en desarrollo. La amenaza es rastreada como Xenomorph Android Malware por los expertos de ThreatFabric, quienes han analizado su código subyacente y sus funcionalidades. Según sus hallazgos, el objetivo principal de Xenomorph es recopilar información bancaria confidencial de sus víctimas y, a pesar de no estar completamente completado, ya es capaz de atacar a 56 bancos de países de toda Europa.
Cabe señalar que la amenaza comparte ciertas similitudes de código con otro troyano bancario llamado Alien. Este hecho podría significar que Xenomorph es una continuación de la anterior amenaza Alien o que un desarrollador ha trabajado en ambas.
Distribución y Funcionalidad
Para eludir las protecciones de la tienda oficial de Google Play, los ciberdelincuentes detrás de Xenomorph utilizaron una aplicación de cuentagotas dedicada que se clasifica como parte de la familia de cuentagotas 'Gymdrop', que se descubrió por primera vez en noviembre de 2021. La aplicación se llamó 'Fast Cleaner ' y trató de atraer a los usuarios con promesas de aumentar el rendimiento de sus dispositivos Android. La aplicaciónlication en sí no contiene ninguna carga útil amenazante: obtiene el troyano Xenomorph solo después de instalarlo en el dispositivo de la víctima.
Una vez dentro, el malware solicita recibir permisos del Servicio de Accesibilidad, que luego abusa rápidamente para obtener aún más permisos en el dispositivo. En última instancia, la amenaza podrá interceptar notificaciones, mensajes SMS y realizar ataques superpuestos. En resumen, la amenaza puede obtener credenciales y contraseñas de un solo uso que le permitan comprometer las cuentas bancarias y financieras de la víctima.
Los expertos en ciberseguridad esperan que Xenomorph siga evolucionando. De hecho, el enfoque modular adoptado por sus desarrolladores les permite agregar fácilmente características más invasivas. Incluso ahora, la amenaza tiene varios comandos que se refieren a rutinas de registro de teclas y capacidades adicionales de recopilación de datos que no se han implementado por completo.