Le malware Xenomorph est répandu depuis plusieurs années, attaquant les banques et volant de l’argent. Récemment, les auteurs de la menace auraient commencé à distribuer une version plus récente du malware, qui peut non seulement voler de l’argent aux utilisateurs d’Android dans divers pays, mais également cibler les portefeuilles cryptographiques.
Découvert initialement en 2022, le malware Xenomorph a commencé comme un cheval de Troie bancaire, se concentrant initialement sur 56 banques européennes via un phishing par superposition d’écran. Cependant, depuis lors, le malware a subi une série de mises à jour, évoluant vers une forme plus polyvalente et modulaire.
Comment fonctionne le malware ?
Selon certaines informations, ce nouveau malware cible les utilisateurs d’Android aux États-Unis, au Canada, en Espagne, en Italie, au Portugal et en Belgique, en utilisant une nouvelle fonction « imiter » qui lui permet de se faire passer pour d’autres applications. Par exemple, dans la nouvelle campagne, les auteurs de la menace attirent leurs victimes vers des sites Web trompeurs, où elles reçoivent une alerte indiquant que le navigateur Chrome nécessite des mises à jour immédiates. Cependant, au lieu de télécharger le vrai navigateur Chrome, le fichier APK contient le malware Xenomorph.
Une fois que le malware est actif, il utilise des superpositions, de faux écrans placés au-dessus des applications, pour voler les informations d’identification des utilisateurs des applications bancaires et de crypto-monnaie. De plus, pour aggraver les choses, la nouvelle version du malware inclut une fonctionnalité « ClickOnPoint », permettant aux acteurs malveillants de simuler des écoutes d’écran à des endroits précis. De plus, il utilise un « système anti-sommeil » qui empêche l’appareil d’éteindre son écran, garantissant ainsi un accès ininterrompu.
Liste des banques ciblées
Compte tenu de la nature généralisée de la campagne, la liste des banques et des portefeuilles cryptographiques ciblés est également longue et comprend des noms comme Chase, Citi, Bank of America, Capital One, PNC, Santander et TD Bank, ainsi que des plateformes de cryptomonnaie comme Coinbase, Binance et MetaMask.
Cependant, le fait que les acteurs malveillants proposent également des logiciels malveillants en tant que service à d’autres acteurs malveillants souligne l’importance de mettre en œuvre des mesures de sécurité. Il s’agit notamment de ne pas installer d’applications provenant de sources tierces, de vérifier toutes les autorisations demandées par une application et d’installer un logiciel antivirus.
