Xenomorph Banking Trojan: Trojan

Xenomorph Banking Trojan: Trojan مصرفي جديد يستهدف أكثر من 35 مؤسسة مالية أمريكية.

Xenomorph Banking Trojan: Trojan مصرفي جديد يستهدف أكثر من 35 مؤسسة مالية أمريكية. كشفت شركة ThreatFabric للأمن الهولندية عن إصدار جديد من Trojan مصرفي لنظام Android يسمى Xenomorph، والذي يستهدف أكثر من 35 مؤسسة مالية في الولايات المتحدة.

تعتمد الحملة على صفحات ويب احتيالية تم تصميمها لإغراء الضحايا بتثبيت تطبيقات Android ضارة تستهدف قائمة أوسع من التطبيقات من سابقاتها. كما تستهدف بعض الدول البارزة الأخرى، بما في ذلك إسبانيا وكندا وإيطاليا وبلجيكا.

وقالت الشركة في تحليل نشر يوم الاثنين: “تضيف هذه القائمة الجديدة العشرات من التراكبات الجديدة للمؤسسات من الولايات المتحدة والبرتغال والعديد من محافظ العملات المشفرة. متبعةً اتجاهًا كان متسقًا بين جميع عائلات البرامج الضارة المصرفية في العام الماضي”.

ماهو Xenomorph.

هو متغير من برنامج ضار مصرفي آخر يسمى Alien ظهر لأول مرة في عام 2022. في وقت لاحق من ذلك العام. انتشر البرنامج الضار المالي عبر قطرة جديدة تدعى BugDrop. والتي تجاوزت ميزات الأمان في Android 13.

جاءت تكرار لاحق تم اكتشافه في وقت سابق من شهر مارس مزودًا بميزات لتنفيذ الاحتيال باستخدام ما يسمى بالنظام الآلي للتحويل (ATS).

تتيح الميزة لمشغليها، المسمى Hadoken Security. السيطرة الكاملة على الجهاز عن طريق إساءة استخدام امتيازات إمكانية الوصول في Android وتحويل الأموال بشكل غير قانوني من الجهاز المخترق إلى حساب يتحكم فيه الجهات الفاعلة.

بينما يستفيد البرنامج الضار أيضًا من هجمات التراكب لسرقة المعلومات الحساسة مثل بيانات الاعتماد وأرقام بطاقات الائتمان عن طريق عرض شاشات تسجيل دخول مزيفة فوق تطبيقات البنوك المستهدفة. كما يتم استرداد التراكبات من خادم بعيد في شكل قائمة عناوين URL.

بعبارة أخرى، يجعل إطار عمل ATS من الممكن استخراج بيانات الاعتماد تلقائيًا. والوصول إلى معلومات رصيد الحساب. وبدء المعاملات. والحصول على رموز المصادقة متعددة العوامل من تطبيقات المصادقة. وإجراء عمليات تحويل الأموال. كل ذلك دون الحاجة إلى أي تدخل بشري.

وقال الباحثون: “وضع الجهات الفاعلة الكثير من الجهد في الوحدات التي تدعم أجهزة Samsung و Xiaomi”. “هذا منطقي. بينما بالنظر إلى أن هذين الجهازين معًا يشكلان ما يقرب من 50٪ من حصة سوق Android بأكملها”.

تتضمن بعض القدرات الجديدة التي تمت إضافتها إلى أحدث إصدارات Xenomorph ميزة “antisleep” التي تمنع شاشة الهاتف من الانطفاء من خلال إنشاء إشعار دفع نشط. وخيار محاكاة لمسة بسيطة عند إحداثيات شاشة محددة. وانتحال تطبيق آخر باستخدام ميزة “التقليد”.

كطريقة لتجاوز الاكتشاف لفترات طويلة من الزمن. يخفي البرنامج الضار أيقونته من قاذفة الشاشة الرئيسية عند التثبيت. كما أن إساءة استخدام خدمات إمكانية الوصول يسمح له بمنح نفسه جميع الأذونات التي يحتاجها للتشغيل دون عوائق على جهاز مخترق.

تنكرت الإصدارات السابقة من Trojan المصرفي.

في صورة تطبيقات وأدوات مساعدة مشروعة على متجر Google Play. لكن موجة الهجمات الأخيرة التي تم رصدها في منتصف أغسطس 2023 غيرت طريقة العمل من خلال توزيع التطبيقات من خلال مواقع مزيفة تقدم تحديثات متصفح Chrome.

في علامة على أن الجهات الفاعلة التي تقف وراء التهديد تستهدف أنظمة تشغيل متعددة. كما وجد التحقيق أن البنية التحتية لاستضافة الحمولة يتم استخدامها أيضًا لتقديم برامج ضارة لسرقة بيانات Windows. مثل Lumma C2 و RisePro. بالإضافة إلى محمل برامج ضارة Private Loader.

في النهاية قالت شركة ThreatFabric: “يحافظ Xenomorph على وضعه كبرنامج ضار مصرفي لنظام Android خطير للغاية. بينما يتميز بمحرك ATS متعدد الاستخدامات وقوي للغاية. مع إنشاء العديد من الوحدات بالفعل. بفكرة دعم أجهزة العديد من الشركات المصنعة”.

Xenomorph Banking Trojan: Trojan مصرفي جديد يستهدف أكثر من 35 مؤسسة مالية أمريكية. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.