Авторы Android-трояна Xenomorph полностью автоматизировали кражу денег

Авторы Android-трояна Xenomorph полностью автоматизировали кражу денег

Авторы Android-трояна Xenomorph полностью автоматизировали кражу денег

По свидетельству ThreatFabric, новая версия банковского трояна для Android нацелена на 400 кредитно-финансовых организаций и использует рамочную систему автоматических переводов для обхода многофакторной аутентификации (MFA).

Банкер Xenomorph появился в поле зрения ИБ-экспертов в феврале 2022 года; на тот момент он был вооружен оверлеями для приложений 56 банков. Дл распространения зловреда использовались дропперы, публикуемые в Google Play.

Прошлым летом вредоносный код был полностью переписан, троян стал более модульным и гибким. Третья версия трояна, обнаруженная голландскими экспертами, распространяется через репаки легитимных Android-приложений (клиентов криптообменников), созданные средствами сервиса Zombinder, и устанавливается в систему как защита Play Protect.

Достоинства Xenomorph v.3 рекламируются на специально созданном сайте — видимо, это задел под MaaS-сервис (Malware-as-a-Service, вредонос как услуга). Экспертам удалось раздобыть тестовые образцы для анализа, доступные в CDN-сети Discord; как оказалось, новые функции зловреда ставят вывод денег со счетов жертв на поток, и вмешательства оператора при этом вообще не требуется.

 

После обновления банкер обрел новый модуль, построенный на ATS-фреймворке, для работы которого требуется доступ к спецвозможностям Android (Accessibility Service). Реализованные в скриптах функции позволяют автоматизировать процесс вывода денег со счетов жертв: кражу учеток, проверку баланса, инициализацию банковских переводов и благополучное завершение мошеннических транзакций (благодаря регистрации содержимого сторонних приложений аутентификации).

У трояна также появился модуль для кражи куки-файлов из Android CookieManager. Он открывает окно WebView с URL легитимного сервиса и включенным JavaScript-интерфейсом, чтобы спровоцировать пользователя на ввод учетных данных. В случае успеха оператор зловреда сможет угнать сессионные куки жертвы и завладеть его аккаунтами.

Обновленный Xenomorph способен атаковать клиентов 400 банков — в основном в европейских странах, Турции, США, Австралии и Канаде. Он также интересуется содержимым 13 криптокошельков, в том числе Binance, BitPay, KuCoin, Gemini и Coinbase.

Роскомнадзор заявил, что не блокирует EA Sports FC и Battlefield 6

Российские игроки снова столкнулись с проблемами доступа к зарубежным сервисам, и снова Роскомнадзор говорит, что это не он. На фоне жалоб пользователей из России ведомство заявило, что не ограничивает доступ к играм EA Sports FC и Battlefield 6.

Ранее СМИ и телеграм-каналы писали, что у российских игроков возникли проблемы с работой сервисов Electronic Arts, в том числе с футбольным симулятором EA Sports FC и шутером Battlefield 6.

«Роскомнадзор не ограничивает доступ к играм EA Sports FC и Battlefield 6», — сообщили в ведомстве, комментируя ситуацию.

История выглядит уже почти как отдельный жанр: пользователи жалуются на недоступность сервиса, начинают подозревать блокировку, после чего регулятор выходит с коротким заявлением в духе «мы ничего не трогали».

Похожий сценарий недавно был со Steam. После жалоб российских пользователей Роскомнадзор также заявил, что не блокирует платформу Valve.

Еще один свежий пример — проблемы с доступом к PyPI, крупнейшему репозиторию пакетов для Python. Тогда российские разработчики массово сообщали о сбоях, но РКН заявил, что не ограничивает работу сервиса и не фиксирует проблем со своей стороны. Позже PyPI снова заработал в штатном режиме.

Пока причина неполадок с сервисами Electronic Arts остаётся неясной. Это может быть технический сбой, проблемы маршрутизации, ограничения на стороне зарубежной инфраструктуры или что-то еще. Но официальная позиция Роскомнадзора уже озвучена: EA Sports FC и Battlefield 6 ведомство не блокирует.

Для геймеров это, правда, слабое утешение.

RSS: Новости на портале Anti-Malware.ru