I ricercatori di ThreatFabric hanno rilevato una nuova campagna di phishing avviata con lo scopo di distribuire Xenomorph, un noto trojan bancario per Android. Il funzionamento base del malware non è cambiato, ma i cybercriminali hanno aggiunto altre capacità per incrementare le probabilità di successo.
Xenomorph ritorna con nuove funzionalità
Xenomorph circola online da febbraio 2022. Inizialmente veniva distribuito tramite app Android pubblicate sul Google Play Store. Le versioni più recenti sfruttano la piattaforma Zoombinder che nasconde il malware in file APK legittimi.
Grazie alla sua architettura modulare può essere utilizzato per colpire un numero maggiore di utenti, sovrapponendo (overlay) una schermata fasulla su quella originale delle app bancarie o wallet di criptovalute. In questo modo, l’ignara vittima non nota la differenza e consegna i dati di login ai cybercriminali.
L’ultima campagna ha preso di mira soprattutto gli utenti degli Stati Uniti, ma al quarto posto dei paesi più colpiti c’è l’Italia. Per distribuire il trojan è stata usata la tecnica del phishing. Le vittime vedono un avviso che invita ad aggiornare Chrome, ma cliccando sul pulsante viene scaricato un file APK infetto.
Nella versione più recente del malware sono state aggiunte tre funzionalità. La prima impedisce allo smartphone di spegnere lo schermo (antisleep). La seconda consente di simulare altre app, mentre la terza simula il touch sullo schermo in determinati punti. Analizzando l’infrastruttura usata per Xenomorph, i ricercatori di ThreatFabric hanno scoperto altri payload, tra cui gli info-stealer RisePro e LummaC2 per Windows.