Cyberthreat.id – Perusahaan keamanan siber ThreatFabric mengungkapkan bahwa varian baru dari trojan perbankan Android bernama Xenomorph telah muncul dengan fitur-fitur baru yang memungkinkannya melakukan penipuan keuangan.

Dikutip dari The Hacker News, malware versi baru ini menambahkan banyak kemampuan baru ke bankir Android yang sudah kaya fitur. Khususnya pengenalan mesin runtime yang sangat ekstensif yang ditenagai oleh layanan Aksesibilitas, yang digunakan oleh aktor untuk mengimplementasikan kerangka kerja ATS lengkap.

Menurut ThreatFabric Xenomorph pertama kali terungkap setahun yang lalu pada Februari 2022, ketika diketahui menargetkan 56 bank Eropa melalui aplikasi dropper yang dipublikasikan di Google Play Store. Mereka menggunakan web yang dirancang untuk menargetkan lebih dari 400 lembaga perbankan dan keuangan, termasuk beberapa dompet mata uang kripto.

“Kami mendeteksi sampel yang didistribusikan melalui Discord's Content Delivery Network (CDN), sebuah teknik yang telah menyaksikan lonjakan sejak 2020. Dua dari aplikasi yang dicampur Xenomorph,” kata ThreatFabric dalam laporan terbaru.

Menurut ThreatFabric , Xenomorph v3 digunakan oleh aplikasi Zombinder ke pengonversi mata uang yang sah, yang mengunduh sebagai 'pembaruan' aplikasi yang menyamar sebagai Google Protect. Zombinder mengacu pada layanan pengikatan APK yang diiklankan di web gelap sejak Maret 2022, di mana malware dikirimkan melalui versi trojan dari aplikasi sah. Penawaran tersebut telah ditutup.

“Target kampanye terbaru melampaui fokus Eropa (yaitu, Spanyol, Italia, dan Portugal) untuk memasukkan entitas keuangan Belgia dan Kanada,” kata ThreatFabric.

Xenomorph, seperti malware perbankan lainnya, diketahui menyalahgunakan Layanan Aksesibilitas untuk melakukan penipuan melalui serangan overlay. Itu juga mengemas kemampuan untuk menyelesaikan transaksi penipuan secara otomatis pada perangkat yang terinfeksi, sebuah teknik yang disebut Automated Transfer System (ATS).

Dengan bank beralih dari SMS untuk autentikasi dua faktor (2FA) ke aplikasi autentikator, trojan Xenomorph menggabungkan modul ATS yang memungkinkannya meluncurkan aplikasi dan mengekstrak kode autentikator. Malware Android ini menawarkan fungsi mencuri cookie, memungkinkan pelaku ancaman untuk melakukan serangan pengambilalihan akun.

"Dengan fitur-fitur baru ini, Xenomorph sekarang dapat sepenuhnya mengotomatiskan seluruh rantai penipuan, dari infeksi hingga eksfiltrasi dana, menjadikannya salah satu trojan Android Malware paling canggih dan berbahaya yang beredar," kata perusahaan itu.