Xenomorph je prvi put primećen u februaru 2022. godine, kada je utvrđeno da cilja korisnike 56 evropskih banaka. Malver se tada distribuirao preko dropper aplikacije za poboljšanje performansi uređaja nazvane “Fast Cleaner”, koja je iz Google Play prodavnice preuzeta 50.000 puta. Ta aplikacija je bila klasični mamac koji koriste bankovni trojanci jer uvek postoji interesovanje među korisnicima za aplikacije koje obećavaju poboljšanje performansi Android uređaja. Kako bi prošla provere Play prodavnice, aplikacija Fast Cleaner preuzimala je malver tek nakon instalacije.
Prva verzija je zloupotrebljavala usluge pristupačnosti Androida (Accessibility Services), za koje je dozvolu morala da dobije od korisnika, a zatim je to koristila da bi sebi omogućila dodatne dozvole po potrebi. Malver je prikazivao lažne ekrane za prijavu preko ciljanih aplikacija banaka da bi ukrao lozinke i druge lične podatke žrtava.
Razvoj malvera je nastavljen tokom 2022., ali njegova sledeća verzija nikada nije distriburana masovno.
Xenomorph v3 je daleko moćniji i zreliji od prethodnih verzija, i sposoban je da automatski krade podatke, uključujući akreditive i stanje na računu, da obavlja finansijske transakcije i finalizira transfere sredstava.
“Sa ovim novim funkcijama, Xenomorph je sada u mogućnosti da kompletira ceo lanac prevare, od infekcije do eksfiltracije sredstava, što ga čini jednim od najnaprednijih i najopasnijih Android trojanaca u opticaju”, upozorio je ThreatFabric.
Hadoken verovatno planira da proda Xenomorph preko platforme MaaS (malver kao usluga), a pokretanje veb sajta koja promoviše novu verziju malvera govori u prilog ove hipoteze.
Trenutno se Xenomorph v3 distribuira preko platforme “Zombinder” u Google Play prodavnici, predstavljajući se kao konvertor valuta a nakon instaliranja koristi ikonicu Play Protect.
Malver sada može da ukrade akreditive za više od 400 banaka i novčanika za kriptovalute. Banke čije aplikacije cilja malver su uglavnom iz Sjedinjenih Država, Španije, Turske, Poljske, Australije, Kanade, Italije, Portugalije, Francuske, Nemačke, UAE i Indije.
Malver cilja i 13 novčanika za kriptovalute, uključujući Binance, BitPay, KuCoin, Gemini i Coinbase.
Jedna od najupečatljivijih karakteristika nove verzije Xenomorpha je njena sposobnost da evidentira sadržaj aplikacija za autentifikaciju, što omogućava malveru da savlada zaštite multifaktorne autentifikacije koje bi inače automatski blokirale transakcije. Kako banke postepeno napuštaju SMS MFA i umesto toga predlažu da klijenti koriste aplikacije za autentifikaciju, mogućnost Xenomorpha da pristupi ovim aplikacijama na istom uređaju deluje vrlo uznemirujuće.
Pored svega navedenog, novi Xenomorph može da krade kolačiće iz Android CookieManagera, koji čuva kolačiće veb sesija korisnika. Zatim pokreće prozor pretraživača sa URL-om legitimne usluge sa omogućenim JavaScript interfejsom, navodeći žrtvu da unese svoje podatke za prijavu. Ovo omogućava napadačima preuzimanje veb sesija žrtve, kao i njenih naloga.
Uzimajući u obzir njegov trenutni kanal distribucije, platformu Zombinder koja se koristi za povezivanje malvera i legitimnih aplikacija, korisnici bi trebalo da budu oprezni sa aplikacijama koje instaliraju sa Google Play, da čitaju recenzije i proveravaju reputaciju izdavača.
Preporučljivo je da broj aplikacija instaliranih na telefonu bude što je moguće manji i da instalirate aplikacije samo poznatih i pouzdanih programera.