O malware Xenomorph está em distribuição há vários anos, atacando bancos e roubando dinheiro. Agora, em um desenvolvimento recente, os agentes de ameaças começaram a distribuir uma versão mais recente do malware, que pode não apenas roubar dinheiro de usuários do Android em vários países, mas também ter como alvo carteiras criptografadas.
Descoberto originalmente em 2022, o malware Xenomorph começou como um trojan bancário, concentrando-se inicialmente em 56 bancos europeus através de phishing de sobreposição de ecrã. Porém, desde então, o malware passou por uma série de atualizações, evoluindo para uma forma mais versátil e modular.
Como funciona o malware?
Segundo relatos, este novo malware tem como alvo usuários de Android nos Estados Unidos, Canadá, Espanha, Itália, Portugal e Bélgica, usando uma nova função de “imitação” que permite personificar outros aplicativos. Por exemplo, na nova campanha, os agentes de ameaças atraem as vítimas para sites enganosos, onde recebem um alerta informando que o navegador Chrome requer atualizações imediatas. No entanto, em vez de baixar o navegador Chrome real, o arquivo APK contém o malware Xenomorph.
Uma vez ativo, o malware usa sobreposições, telas falsas colocadas sobre aplicativos, para roubar credenciais de usuários de aplicativos bancários e de criptomoeda. Além disso, para piorar a situação, a nova versão do malware inclui um recurso “ClickOnPoint”, permitindo que agentes mal-intencionados simulem toques na tela em locais precisos. Além disso, utiliza um “Sistema Antisleep” que evita que o aparelho desligue a tela, garantindo assim um acesso ininterrupto.
Lista de bancos alvo
Dada a natureza generalizada da campanha, a lista de bancos e carteiras criptográficas alvo também é extensa e inclui nomes como Chase, Citi, Bank of America, Capital One, PNC, Santander e TD Bank, bem como plataformas de criptomoedas como Coinbase, Binance e MetaMask.
No entanto, o facto de os agentes de ameaças também oferecerem o malware como um serviço a outros agentes mal-intencionados destaca a importância da implementação de medidas de segurança. Isso inclui não instalar aplicativos de fontes de terceiros, verificar todas as permissões solicitadas por um aplicativo e instalar software antivírus.