nuovo trojan bancario per Android

Gli esperti di ThreatFabric hanno individuato un nuovo trojan bancario che viene distribuito tramite app pubblicate sul Google Play Store. Xenomorph condivide alcune funzionalità con il suo predecessore Alien (ovviamente), quindi l’autore del malware potrebbe essere lo stesso. I bersagli preferiti sono 56 istituzioni bancarie in quattro paesi, tra cui l’Italia.

Xenomorph: caratteristiche del torjan bancario

Google ha implementato diversi sistemi di protezione per il suo store, ma i cybercriminali trovano spesso il modo di aggirarli. Uno dei trucchi più utilizzati prevede la pubblicazione di app apparentemente innocue, come Fast Cleaner. Il payload viene scaricato sul dispositivo Android dopo l’installazione, quindi l’app non viene bloccata. Le funzionalità di Xenomorph sono limitate, in quanto è ancora sotto sviluppo.

Il trojan può intercettare le notifiche, accedere agli SMS e quindi rubare le credenziali di login degli account bancari anche se viene utilizzato un codice OTP. Dopo aver ottenuto il permesso per usare i servizi di accessibilità e l’elenco delle app installate, Xenomorph effettua un “overlay attack”, mostrando una schermata simile a quella dell’app bancaria. L’ignara vittima non si accorge che i suoi dati personali finiscono nelle mani sbagliate.

Gli esperti di ThreatFabric hanno scoperto che i target principali sono le app di 56 banche in Italia, Spagna, Portogallo e Belgio, oltre a 7 servizi di posta elettronica e 12 portafogli di criptovalute. Per le comunicazioni con il server C2 viene utilizzato in modo illegale Retrofit2, un software open source. Fortunatamente Xenomorph è ancora poco diffuso, ma è meglio prestare attenzione alle app scaricate dal Google Play Store.