Xenomorph, torna con nuove funzionalità il trojan bancario che fa tremare il mondo

Gli esperti di ThreatFabric hanno lanciato l'allarme in tutto il mondo segnalando la diffusione di una nuova variante di Xenomorph, il noto trojan bancario che prende di mira i sistemi Android.

In realtà quest'ultimo aveva iniziato a circolare online un po' ovunque, Italia compresa, almeno a partire dal mese di febbraio del 2022, mietendo numerose vittime: la prima variante del trojan era allora stata attribuita al gruppo Hadoken Security.

Gli hacker non sono rimasti con le mani in mano, mettendosi all'opera per apportare delle modifiche alla versione originale di Xenomorph con l'obiettivo di renderlo più efficace e incrementare le probabilità di successo del cyberattacco. In realtà il funzionamento di base del trojan non è cambiato, ma sono state implementate delle funzionalità per ampliare la capacità di far cadere nel tranello un numero ancora maggiore di ignare vittime.

Originariamente il malware veniva distribuito tramite applicazioni per Android pubblicate sul Google Play Store, mentre la versione più recentemente immessa in rete sfrutta la piattaforma Zoombinder, che occulat il trojan in file Apk assolutamente legittimi. Anche la nuova variante di Xenomorph sfrutta i servizi di accessibilità di Android, effettuando degli attacchi overlay, ovvero sovrapponendo delle schermate fasulle e ricostruite con grande cura a quelle originali di app di tipo bancario o di wallet di cryptovalute. Una volta che l'ignara vittima è convinta di aver effettuato l'accesso alla propria pagina personale, i suoi dati personali finiscono altrove, fornendo ai cybercriminali le chiavi per accedere al conto.

Per poter distribuire il malware al maggior numero possibile di utenti Android, gli hacker hanno utilizzato la tecnica del phishing, puntando su un avviso che consiglia di aggiornare al più presto il browser Google Chrome: a essere infetto è il file Apk.

Sono essenzialmente tre le novità aggiunte per rendere più efficace il raggiro. La prima è una funzionalità antisleep, che impedisce allo smartphone di spegnere lo schermo, la seconda favorisce la simulazione di altre app, mentre la terza è in grado di riprodurre il tocco sullo schermo del dispositivo in determinati punti.

Secondo gli esperti di ThreatFabric, per i loro attacchi overlay gli hacker hanno deciso di operare in particolare sui moduli che supportano dispositivi Samsung e Xiaomi.

La scelta non è casuale, dato che si tratta di prodotti che da soli superano il 50% dei dispositivi con sistema Android presenti sull'intero mercato.