Cosa sapere su Xenomorph, il malware che ruba gli account bancari italiani

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Quante volte avete visto Alien, il popolare e memorabile film di Ridley Scott ambientato in una navicella spaziale? Bene: immaginate il medesimo scenario, dove però la ciurma della Nostromo è impersonata dai vostri dati personali; l’alieno invece è sempre lo stesso – uno Xenomorfo. I ricercatori di Threath Factory hanno infatti identificato una nuova tipologia di malware, chiamata appunto Xenomorph, che imperversa sul Play Store e prende di mira gli account bancari di Paesi come Italia, Spagna e Portogallo.

Siete pronti per scoprire in questo report tutto quello che occorre sapere sul malware Xenomorph?

Che cos'è Xenomorph

Xenomorph è un nome minaccioso e altisonante; dato che i ricercatori di malware non nominano mai a caso i frutti amari delle loro scoperte, c’è da temere da questo malware? 

La nomenclatura del virus non deriva tanto dalla sua resilienza, che ancora non è paragonabile alla quella dimostrata dall’alieno della pellicola cinematografica; quanto piuttosto dalla sua stretta parentela con un altro malware, chiamato Alien e noto come membro della grande famiglia dei Gymdrop Dropper. I dropper sono dei malware che si infiltrano all’interno del dispositivo-vittima unicamente per scaricarvi all’interno un ulteriore virus: sono dei “messaggeri”, per così dire, poiché tutto quello che fanno è lasciare (“to drop”) un file maligno sul device.

 

Xenomorph è stato rintracciato nell’app Fast Cleaner, scaricata ben 50.000 volte prima di essere espulsa dal Play Store

 

La differenza tra Xenomorph e altri malware della famiglia Gymdrop è la compresenza, nel suo codice, di tracce di altri virus: principalmente di ExobotCompact.D, una minaccia che nelle scorse settimane è stata rintracciata all’interno di altre app del Play Store e soprattutto in app bancarie. Questa commistione ha portato alla nascita di Xenomorph.

Nonostante Xenomorph possegga una natura da “dropper”, non è solamente un “dropper” – non è infatti completamente identificabile in una sola categoria, essendo ancora in fase di sviluppo.

I ricercatori vogliono essere molto chiari su questo punto: Xenomorph può diventare tante cose, quante quelle contenute all’interno del suo protocollo di sviluppo. La principale specializzazione del malware consiste nella visualizzazione, sullo schermo sopra le altre applicazioni, di schermate di phishing che gli permettono di derubare l’utente delle credenziali inserite.

Come Xenomorph attacca gli smartphone degli utenti

Xenomorph si inserisce nei telefoni delle vittime principalmente sottoforma di applicazione fasulla: ha catturato l’attenzione dei media proprio grazie al mascheramento nella forma dell’app “Fast Cleaner”, un task killer con funzioni di potenziamento della batteria (un genere di app che non dovreste usare, tra parentesi), che ha saputo raggiungere 50.000 download prima di essere rimosso dal Play Store.

 

Un facile recap delle caratteristiche di Xenomorph

 

La strategia adottata è quindi quello del solito “overlay attack”: l’utilizzo di una schermata WebView che si frappone tra la pagina di autenticazione e l’utente, carpendo le informazioni inserite. Il malware non mantiene questa schermata attiva sempre, ma solo quando identifica l’apertura di una serie di applicazioni “sensibili”. Come molti trojan bancari, Xenomorph si concentra soprattutto nell’estorsione delle Personally Identifiable Informations (PII) necessarie per condurre le frodi bancarie.

Tutto ciò è reso possibile dall’abuso degli Accessibility Services, i servizi di accessibilità pensati da Google per aiutare gli utenti sofferenti di handicap sensoriali a utilizzare lo smartphone senza interagire con lo schermo; questi servizi hanno però una lunga storia di abusi da parte dei virus Android, che se ne servono per simulare le azioni dell’utente sul dispositivo e installare ulteriori malware a loro insaputa. Una volta che l’utente li concede al malware, non c’è modo di tornare indietro.

Per ora, Xenomorph ha una lista non particolarmente grande di funzioni; tracce di codice rintracciate nel suo protocollo segnalano che potrebbe però trasformarsi in una minaccia ben più grande. L’abuso degli Accessibility Services lo pongono nella condizione di poter registrare ogni attività eseguita dall’utente sul telefono, consentendogli così di trasformarsi in un keylogger (ossia, un virus che monitora le immissioni sulla tastiera).

 

Gli Accessibility Services sono frequentemente usati dai malware per i propri biechi fini

 

Xenomorph è un malware che si basa molto sulla modularità (benché non ancora completamente implementata) e sulla sua catena di comando, resa possibile dai contatti che detiene con il suo server di Comando & Controllo da cui riceve le istruzioni per l’attacco. Nonostante sia nel suo “stadio infantile”, è già facile identificarlo come il prossimo grande spauracchio di Android: le sue modalità d’attacco sono molto simili a quelli del suo predecessore Alien, a sua volta derivato da Cerberus, notissima minaccia informatica di qualche anno fa (di cui avevamo parlato qui).

Nel momento in cui Xenomorph si installa nel dispositivo, sottrae le credenziali bancarie di cui il proprio sviluppatore, ring0 (la cui nomenclatura è stata rintracciata sia nel codice di Alien, sia nel codice di Xenomorph), ne abusa all’insaputa della povera vittima, dato che il virus intercetta e cancella gli SMS di avviso della banca – funzione utile anche a recuperare gli SMS contenenti i codici per l’autenticazione a due fattori; va inoltre segnalato che Xenomorph riesce anche a cancellare le notifiche delle app.

Come difendersi da Xenomorph

Il fatto che Xenomorph sia stato rintracciato sul Play Store è un segnale inquietante sullo stato non solo della sicurezza del Play Store, ma anche del grado di sofisticatezza che i malware dropper hanno raggiunto. Un dropper è infatti molto più difficile da identificare rispetto a un comune virus, e non è escluso che in futuro questa categoria diventi più frequente sul Play Store rispetto al passato.

 

Ben 12 app bancarie italiane sono state prese di mira da Xenomorph

 

Un altro segnale di pericolo deriva dai target scelti dalle applicazioni malevole: come potete notare dal grafico qui sopra, Xenomorph ha tra i suoi target numerose app di banche italiane, che rappresentano il secondo obiettivo per numeri dopo le banche spagnole. Da parte nostra possiamo suggerirvi di stare sempre attenti alle app che scaricate, e di controllare sempre le recensioni prima di effettuare il download – le proteste di altri utenti caduti vittime delle app maligne possono aiutarvi a non cadere nell’errore a vostra volta. E, ovviamente, di non scaricare mai i task killer.

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!

Fonte Threat Fabric
Via Malwarebytes
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//