Xenomorph と呼ばれる新しい Android バンキング型トロイの木馬が、脅威アクターの間で人気を集めています。脅威アクターたちはこのマルウェアを使用して、暗号通貨ウォレット、電子メール サービス、50 を超えるヨーロッパの銀行アプリ、特にスペインのアプリなど、450 を超えるアプリから認証情報を盗んでいます。2月下旬に初めて確認されたXenomorphは、正規のアプリケーションを装って公式Google Playストアを通じて配布されました。その結果、50万人以上のユーザーがマルウェアをインストールしました。
トロイの木馬にはさまざまな機能があるため、多要素認証 (MFA) で保護されているアカウントであっても、資格情報の盗難やアカウント乗っ取り (ATO) 詐欺のリスクがあり、すべての企業がユーザーをトロイの木馬から保護する方法を学ぶことが重要です。このブログ投稿では、Xenomorph の機能、仕組み、そして Transmit Security Platform が企業に Xenomorph 攻撃からユーザーを保護する上でどのように役立つかについて説明します。
ゼノモーフの分布、ターゲット、能力
Xenomorph は、Google Play ストアで配布された 50 を超えるアプリケーションを通じてユーザーのデバイスに導入されました。いずれかのアプリがインストールされると、ユーザーが対象のアプリケーションとどのようにやり取りするかに関する広範なデータを記録できるペイロードがダウンロードされます。
ゼノモーフは以下のものを収穫することができます:
- ログイン認証情報
- 個人を特定する情報
- メール
- 2FAコード
- 暗号通貨ウォレットからのシードフレーズ
- デバイス情報
- キーロギング
- 行動データ
マルウェアは偽のアプリケーションがインストールされるまで取得されないため、Google Play ストアのスクリーニング中に Google によって悪質なものとしてフラグ付けされず、マルウェアを含む多くのアプリケーションが広く配布されることになります。さらに、デバイスが感染すると、ユーザーはマルウェアをアンインストールすることができず、以下に示すように、ダーク ウェブでの議論から、脅威アクターの間でマルウェアが引き続き人気を博していることがわかります。
皆さん、2023 年の最高の Android マルウェアは何ですか?ermac hydra についての意見を教えていただけますか?
今年のベストはどれかは言いにくいですが、エルマックとヒドラは良いですし、シャークボットとゼノモーフも良いです。もちろん、レンタル料にいくら払うつもりかにもよるでしょう。聞いたところによると、エイリアンは明らかに衰退しているようです。あるいは、何か手配する方法を知っているなら、古き良きアヌビスです。
さらに、研究者らは、トロイの木馬のモジュール構造により簡単に拡張および更新できるため、将来の機能拡張を可能にするコマンドとプレースホルダーをトロイの木馬内に発見しました。
ゼノモーフの仕組み
When a user downloads an infected app, Xenomorph malware is dropped from Github and executes an overlay attack that exploits Android’s accessibility service, which is capable of monitoring and executing a wide range of actions that improve disabled users’ access to applications.
Once Xenomorph is installed, it repeatedly asks users to enable accessibility services. After receiving access permissions, it adds itself as a device admin and prevents the user from removing the configuration, making the malware uninstallable. Xenomorph then searches for targeted applications on the device and sends back the list of installed packages to download the corresponding overlays, which mimic the interfaces of legitimate applications.
As soon as the malware is up and running, the device’s background services will receive information about accessibility events, such as opening a targeted application. When this occurs, Xenomorph will execute the overlay injection, tricking users into believing they are interacting with the legitimate application so it can steal users’ credentials, one-time passwords and other sensitive information.
Protecting users from Xenomorph with Transmit Security
Transmit Security’s Detection and Response service protects businesses against fraudsters who may use Xenomorph to steal users’ credentials or use harvested data to perform account takeover attacks.
Detection and Response prevents malware credential theft via features designed to detect infected devices in real time:
- Signature-based detection: Detection and Response uses signatures, or known patterns used in families of malware, to detect known compromised applications, malicious files that are associated with malware and environmental parameters left behind by malware.
- Overlay detection: By integrating its SDK within the app, Detection and Response can detect in real-time when an overlay screen is used.
In addition, Detection and Response prevents ATO attacks from fraudsters armed with data harvested by malware. It does this by analyzing a broad range of telemetry signals using multiple real-time detection methods, including:
- Geo analysis: Detection and Response leverages information about users’ geolocation over time and flags requests that indicate suspicious behavior, such as impossible travel or locations that are not part of a user’s typical behavior and known to have high rates of fraud.
- Link Analysis: Mapping the relationships between fraudsters’ IPs, devices and other telemetry enables Detection and Response to uncover fraud rings that may target multiple users in real time.
- Device Reputation: Using advanced device fingerprinting, Detection and Response builds a profile of trusted devices and detects strong indicators of fraudulent activity such as emulators, virtual machines, malware, remote access trojans, spoofed devices and device farms.
- Network Reputation: Detection and Response uses a database of over one billion entities to identify attempted access by IPs that have been involved in previous attacks or are using TOR, data centers, proxies and anonymizers to hide their tracks.
- Behavior Analysis: By combining many behavior-based data points, such as the average time to perform a specific action, mousing patterns and typical session journeys, Detection and Response builds a profile of trusted user behavior and analyzes each new action in real time using machine learning to detect anomalies that may indicate fraud.
After analyzing a relevant action, such as a login or transaction, Detection and Response returns a transparent recommendation for handling each request along with the top reasons for the recommendation, such as the detection of a known malicious device, impossible travel or the use of TOR networks. Businesses can use these recommendations as action triggers to block requests from compromised devices or suspicious users.
Detection and Response is already being used by some of the world’s largest and most trusted financial institutions to detect and mitigate fraud. Find out more by reading our case study on how a leading U.S. bank achieved 1300% ROI with Detection and Response, or contact sales to request a personalized demo.
