Авторы Android-трояна Xenomorph полностью автоматизировали кражу денег

Татьяна Никитина 10 Марта 2023 - 19:00

...

Авторы Android-трояна Xenomorph полностью автоматизировали кражу денег

По свидетельству ThreatFabric, новая версия банковского трояна для Android нацелена на 400 кредитно-финансовых организаций и использует рамочную систему автоматических переводов для обхода многофакторной аутентификации (MFA).

Банкер Xenomorph появился в поле зрения ИБ-экспертов в феврале 2022 года; на тот момент он был вооружен оверлеями для приложений 56 банков. Дл распространения зловреда использовались дропперы, публикуемые в Google Play.

Прошлым летом вредоносный код был полностью переписан, троян стал более модульным и гибким. Третья версия трояна, обнаруженная голландскими экспертами, распространяется через репаки легитимных Android-приложений (клиентов криптообменников), созданные средствами сервиса Zombinder, и устанавливается в систему как защита Play Protect.

Достоинства Xenomorph v.3 рекламируются на специально созданном сайте — видимо, это задел под MaaS-сервис (Malware-as-a-Service, вредонос как услуга). Экспертам удалось раздобыть тестовые образцы для анализа, доступные в CDN-сети Discord; как оказалось, новые функции зловреда ставят вывод денег со счетов жертв на поток, и вмешательства оператора при этом вообще не требуется.

После обновления банкер обрел новый модуль, построенный на ATS-фреймворке, для работы которого требуется доступ к спецвозможностям Android (Accessibility Service). Реализованные в скриптах функции позволяют автоматизировать процесс вывода денег со счетов жертв: кражу учеток, проверку баланса, инициализацию банковских переводов и благополучное завершение мошеннических транзакций (благодаря регистрации содержимого сторонних приложений аутентификации).

У трояна также появился модуль для кражи куки-файлов из Android CookieManager. Он открывает окно WebView с URL легитимного сервиса и включенным JavaScript-интерфейсом, чтобы спровоцировать пользователя на ввод учетных данных. В случае успеха оператор зловреда сможет угнать сессионные куки жертвы и завладеть его аккаунтами.

Обновленный Xenomorph способен атаковать клиентов 400 банков — в основном в европейских странах, Турции, США, Австралии и Канаде. Он также интересуется содержимым 13 криптокошельков, в том числе Binance, BitPay, KuCoin, Gemini и Coinbase.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 27 Мая 2026 - 16:13

Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники пугают дачников штрафами от имени Росреестра

Росреестр предупреждает о мошенниках, которые действуют от имени ведомства и рассылают сообщения о «штрафах» за различные нарушения земельного законодательства. Такие сообщения содержат фишинговые ссылки: при переходе по ним злоумышленники могут похитить учётные записи на различных сервисах или платёжные данные.

Как сообщает «Российская газета», злоумышленники пользуются тем, что в российском земельном законодательстве появилось много изменений. В том числе речь идёт о нормах, связанных с необработанными участками и распространением на них инвазивных растений, например борщевика Сосновского.

Мошенники рассылают сообщения, в том числе от имени Росреестра, и сообщают о якобы назначенном штрафе. В письме или сообщении обычно есть ссылка, по которой предлагается оплатить штраф со скидкой. На деле она ведёт на фишинговый ресурс, где пользователь рискует передать злоумышленникам платёжные реквизиты или доступ к учётной записи на «Госуслугах».

В дальнейшем такие аккаунты могут использоваться для оформления кредитов от имени реального владельца или для шантажа, в том числе с угрозами продажи недвижимости и других последствий.

Заместитель руководителя Росреестра Максим Смирнов отметил, что ведомство привлекает к ответственности только по результатам контрольного или надзорного мероприятия и после составления протокола об административном правонарушении. Собственника уведомляют по установленным процедурам — заказным письмом или через «Госуслуги».

Если таких уведомлений не было, сообщения из других источников следует считать мошенническими. Росреестр, как и другие официальные структуры, не рассылает уведомления о штрафах через СМС или мессенджеры.

«Ни в коем случае не переходите по подозрительным ссылкам в СМС или в чатах в мессенджерах с угрозами штрафов за нарушения на участках — по этим каналам постановления о назначении такого административного наказания не распространяются», — напомнил Максим Смирнов.

Ранее злоумышленники уже действовали от имени Росреестра. Так, осенью 2025 года была выявлена кампания с использованием реальных данных об объектах недвижимости. Цели атак различались: помимо кражи аккаунтов, мошенники могли навязывать вредоносные приложения или развивать атаку для перевода крупных сумм на подконтрольные счета.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!