Xenomorph, trojan in diffusione su larga scala

Xenomorph malware stato scoperto a febbraio 2022 e classificato come nuovo trojan per Android.
Il trojan Xenomorph, svuota letteralmente i conti correnti delle vittime sfruttando apposito applicazioni malevoli distribuite tramite Google Play Store.

L’azienda cybersecurity olandese ThreatFabric da qualche mese ha già messo in guardia le aziende di tutto il mondo dal pericolo di incappare nell’azione del trojan. Ad oggi purtroppo sono oltre 50.000 i payload trojan.

Nel nostro paese, il trojan è poco conosciuto ma non sottovalutate la sua azione. L’infezione è realmente pericolosa, ecco perché abbiamo deciso di dedicargli un intero contenuto qui sul nostro blog.

In questo articolo scopriremo come contrastare e prevenire gli attacchi dei trojan bancari come Xenomorph.

1. Xenomorph, di che cosa si tratta

2. Modalità di esecuzione del trojan Xenomorph

3. Origine del malware Xenomorph

4. Come funziona Zenomorph malware

5. Sistemi operativi colpiti daXenomorph trojan

6. Le evoluzioni del trojan Xenomorph

7. Fare prevenzione contro i trojan come Xenomorph

Il 2022 è certamente stato l’anno di punta delle infezioni malware e i trojan bancari non sono certo restati a guardare.
Oggi è arrivato il momento di parlarvi di un nuovo trojan bancario che porta il nome di un personaggio cinematografico: Xenomorph.

Generalmente, i trojan horse malware come Xenomorph hanno come obiettivo quello di carpire dati finanziari delle vittime, rilevare operazioni bancarie e ogni informazione legata alle operazioni bancarie per poi trasferirle direttamente al loro creatore.

Xenomorph è solo uno dei tanti malware trojan ad essere stato creato per mano di criminali informatici “assetati” di credenziali bancarie e dati finanziari.

Purtroppo, ciò che più preoccupa gli esperti di cybersecurity è che Xenomorph non viene diffuso tramite attacchi di phishing o siti web infetti, bensì applicazioni presenti all’interno del Google Play Store: l’ambiente per eccellenza maggiormente controllato nel quale circolano le applicazioni mobile, pronte per essere scaricate su qualsiasi smartphone.

Dall’analisi del codice del malware Xenomorph si è potuto constatare che questa infezione replica in parte il funzionamento di un suo simile: il trojan bancario Alien per l’appunto. A tal proposito, si sospetta che questo trojan malware sia stato creato da un esperto del codice sorgente del malware Alien, oppure che sia lo stesso autore ritornato all’attacco.

La peculiarità di Xenomorph trojan è che quest’ultimo prende di mira applicazioni mobile e servizi delle banche europee più note, inclusi 12 istituti italiani fra cui:

• ING;

• Intesa San Paolo Mobile;

• Banca Sella;

• BCC;

• BNL;

• Carige;

• UBI Banca;

• YouApp;

• Banca MPS;

• Bancaperta;

• SCRIGNOapp;
  

• Postepay.

Un vero e proprio disastro.
Stando alle ultime statistiche, l’Italia è il secondo bersaglio privilegiato del trojan Xenomorph, subito dopo la Spagna.

Xenophorm punta essenzialmente ad attaccare gli smartphone Android seguendo una schema ben preciso: il trojan si trova all’interno di un’appliczione chiamata Fast Cleaner che gli utenti scaricano tranquillamente attraverso la piattaforma Google Play Store. L’applicazione risulta legittima e sicura al momento del download dallo store.

Infatti, Fast Cleaner viene pubblicizzata come applicazione Android per ripulire la cache del dispositivo e ottimizzare il consumo di batteria e la velocità dello smartphone.

Attratti dalla promessa dell’applicazione, gli utenti spesso la scaricano ignari di ciò che li aspetta.

L’applicazione infatti non contiene codice malevolo fino al momento in cui viene avviata la prima volta dall’utente.

Il payload dell’applicazione viene prelevato da server remoti e dal momento dell’avvio, richiede all’utente di poter accedere ad una serie di servizi: ad oggi sembra che l’applicazione sia in grado di bersagliare le app di 56 banche europee di cui 12 italiane

Fast Cleaner è in grado di intercettare le notifiche, registrare gli SMS ricevuti e prendere qualsiasi dato sensibile con lo scopo di svuotare i conti bancari.

Addirittura, dopo l’avvio dell’applicazione sullo smartphone la prima azione intrapresa consiste nell’inviare un elenco dei pacchetti di tutto ciò che installato sul dispositivo in modo che gli attaccanti riescano a sferrare attacchi “ad hoc”.

Come avviene il processo di infezione di Xenomorph trojan?

• L’appliczione, appena installato, enumera e restituisce un elenco di pacchetti installati sul dispositivo infetto all’attaccante;
• In base a quali applicazioni mirate sono presenti, continua a scaricare gli overlay corrispondenti da iniettare;
• Dopo aver ottenuto l’accessibilità, Xenomorph si registrerà e verificherà se stesso con C2, inviando una richiesta utilizzando l’open source Retrofit2 (un client REST type-safe per Android, Java e Kotlin sviluppato da Square), che contiene le informazioni iniziali esfiltrate sul dispositivo;
• Dopodiché, Xenomorph ricerca periodicamente nuovi comandi dal C2. Per ora, i comandi consentono al malware di elencare le iniezioni Web inviate dal C2, abilitare o disabilitare le notifiche di intercettazione ed enumerare le app installate;
• Nel frattempo, il malware esegue anche la registrazione delle informazioni raccolte.
  Queste vengono visualizzate solo sui registri del dispositivo locale.

Android, per quante funzionalità possa avere, è esposto da problematiche che intaccano la sicurezza e la privacy degli utenti.

Infatti, è stato così che Xenomorph si è diffuso sulla piattaforma Google Play Store. L l’applicazione è riuscita a superare tutti i controlli di sicurezza obbligatori prima del lancio sulla piattaforma, peccato che il payload malevolo venisse avviato solo dopo che l’applicazione veniva scaricata.

Quindi, se vi state chiedendo perché Android non blocca l’app?

Perché il payload viene scaricato dopo l’installazione.
I cybercriminali si ingegnano a trovare modi per aggirare i diversi e in crescita sistemi di protezione di Google.

Cosa distingue Xenomorph da altri trojan?

Nel codice sorgente Xenomorph gli specialisti hanno rilevato tracce di altri malware, in maggioranza di ExobotCompact.D: si tratta di caratteristiche rintracciate di recente anche all’interno di altre app. Questa commistione ha portato alla nascita di Xenomorph.

Questo trojan è ancora in fase embrionale, ma vogliamo dirvelo: non sottovalutatelo.
Xenomorph non è solamente un dropper. Potrebbe rimanere in una sola categoria o presentare delle varianti, quante quelle contenute all’interno del suo protocollo di sviluppo.

La stessa ThreatFabric ci avvisa di tenere d’occhio questo malware neonato e pieno di potenziale.

I suoi creatori possono aggiungere modifiche e potenziare il codice sorgente in modo da rendere l’attacco ancora più violento. Tutto questo potrebbe accadere in breve tempo.

Inoltre, il trojan presenta una corazza dura: contiene diversi meccanismi sofisticati per prevenire o scoraggiare la disinstallazione.
La sola applicazione infetta Fast Cleaner, insieme a tutti gli altri suoi cloni, mostra 50.000 download sulla sua pagina Play Store, ma nulla dice che anche altre applicazioni nello Store non siano prese di mira dal virus.

Riassumiamo le potenzialità di Xenomorph:

• Le informazioni che il trojan registra e invia al server C2 sono da tenere in osservazione;
• Possono essere raccolti i dati delle vittime tramite le app, anche se non fanno ancora parte dell’elenco degli obiettivi;
• Il malware è in grado di abusare dei servizi di accessibilità per registrare tutto ciò che accade sul dispositivo;
• Richiederebbe solo una piccola modifica per aggiungere le funzionalità di keylogging e di registrazione dell’accessibilità al malware.

Xenomorph è un pericolo da non sottovalutare, perché potrebbe riuscire a mettervi in seria difficoltà così come molti altri potenti trojan bancari già attivi. Il codice contiene una serie di comandi che oggi non hanno ancora visto l’implementazione, ma dovrebbero essere abbastanza potenti una volta configurati correttamente.

Prevenire è meglio che curare, quindi si devono seguire questi semplici suggerimenti:

• Analizzare con cautela le autorizzazioni richieste durante l’installazione delle app;

• Informarsi sullo sviluppatore dell’app che si vuole installare;

• Evitare i marketplace di app sconosciuti;

• Riavviare spesso.

  Anche se non è il caso di Xenomorph, alcuni malware non hanno meccanismi persistenti per non essere rilevati, quindi il riavvio spesso potrebbe ripulire il proprio smartphone da eventuali minacce;

• Prima di installare un’applicazione dal Google Play Store, scorri verso il basso sulla descrizione dell’app e fai clic su Autorizzazioni app per verificare cosa richiede. Sarebbe strano se un’app di pulizia file richiedesse l’autorizzazione per gestire gli SMS, no?

• Leggere i feedback e le recensioni degli utenti prima di scaricare una nuova app;

• Non sottovalutare eventuali anomalie attribuite a processi eseguiti in background dallo stato della batteria e traffico di rete del dispositivo;

• Le richieste immediate di aggiornamento dopo l’installazione sono sospette, perché l’applicazione scaricata dal Play Store dovrebbe essere l’ultima versione;

• Non solo il vostro computer ha bisogno di un efficace antivirus, ma anche i vostri dispositivi mobili.

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica. Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.