Una nuova variante del banking trojan Xenomorph per Android è stata rilevata. Già in precedenza, a marzo, questo malevolo software aveva mirato a numerose banche globali, compresi istituti italiani. Tuttavia, ciò che differenzia questa nuova variante rispetto al passato è il metodo di distribuzione: tramite pagine di phishing studiate appositamente per ingannare gli utenti e indurli ad installare applicazioni dannose.
Caratteristiche della nuova variante Xenomorph
L’ultimo avvistamento di Xenomorph ha mostrato che il trojan si avvale dei servizi di accessibilità di Android per condurre attacchi overlay. In sostanza, riesce a sovrapporre schermate di accesso false a quelle originali delle app bancarie, truffando così gli ignari utenti. Le analisi condotte da ThreatFabric hanno evidenziato una particolare predilezione dei cybercriminali per i dispositivi Samsung e Xiaomi, il che non sorprende dato che insieme rappresentano una fetta significativa del mercato Android, superando il 50%.
Come si è evoluto Xenomorph
La storia di Xenomorph risale almeno al febbraio 2022 quando fu rilevato per la prima volta. Questa minaccia originaria era attribuita al gruppo Hadoken Security. Ma, come spesso accade nel mondo della cybercriminalità, gli hacker si sono adattati e hanno evoluto il loro strumento. Mentre la struttura di base del trojan è rimasta invariata, sono state integrate nuove funzionalità per aumentarne l’efficacia. La modalità di distribuzione ha anche subito una trasformazione: da applicazioni malevole sul Google Play Store a una piattaforma chiamata Zoombinder, che maschera il trojan in file Apk legittimi.
LEGGI ANCHE >>> Se hai ricevuto un bonifico sbagliato sul conto corrente, fai attenzione ai tuoi risparmi
Dettagli tecnici del trojan
Dagli studi condotti sui campioni di Xenomorph, emerge che il malware è capace di una serie di azioni malevole: rubare credenziali di accesso, visualizzare saldi bancari, effettuare transazioni e trasferimenti di fondi. Uno degli sviluppi più preoccupanti è la sua capacità di bypassare i sistemi di autenticazione a due fattori, compromettendo ulteriormente la sicurezza degli utenti. Inoltre, Xenomorph ha acquisito la capacità di rubare i cookie, permettendo ai cybercriminali di accedere agli account delle vittime.
Distribuzione e tattiche ingannevoli
Per raggiungere il maggior numero di vittime possibile, gli attori malintenzionati dietro Xenomorph hanno adottato tecniche di phishing sofisticate. Una tattica comune riguarda falsi avvisi che suggeriscono di aggiornare il browser Google Chrome, ingannando l’utente nell’apertura di un file Apk infetto. Alcune delle nuove funzionalità implementate includono un sistema antisleep, la simulazione di altre app e la capacità di replicare tocchi sullo schermo.
TI POTREBBE INTERESSARE >>> Il tuo conto corrente è veramente al sicuro quando gli hacker attaccano le nostre banche?
Come proteggersi dal nuovo Xenomorph
Data l’elevata pericolosità di Xenomorph, gli utenti Android devono essere particolarmente cauti. Sebbene molti software antivirus non riconoscano ancora questa nuova variante, ci sono passi che gli utenti possono seguire per proteggere i loro dispositivi. È essenziale scaricare e installare app solo da fonti attendibili, come il Google Play Store. Anche all’interno dello store, è fondamentale leggere le recensioni degli utenti e controllare la reputazione degli sviluppatori. Limitare il numero di app installate e privilegiare quelle di fornitori noti e fidati è un ulteriore passo per garantire la sicurezza del proprio dispositivo.