Xenomorph: malware ‘em desenvolvimento’ se camufla em apps da Play Store para roubar dados bancários

Mais de 50 mil dispositivos foram infectados via Play Store pelo Xenomorph, um novo malware do tipo trojan que rouba dados bancários sensíveis. Clientes de 56 instituições financeiras na Espanha, Portugal, Bélgica e Itália têm sido vítimas da ameaça, que ainda se encontra em fase de desenvolvimento.

De acordo com o relatório da empresa de prevenção de fraudes e crimes cibernéticos ThreatFabric, o novo malware carrega um código semelhante ao do também trojan bancário chamado Alien. Os pesquisadores sugerem que a característica das duas ameaças estão de alguma forma ligadas: o Xenomorph seria um sucessor do Alien ou o desenvolvedor por trás dos softwares trabalha com ambas.

Imagem: ThreatFabric

Assim como outros trojans bancários, o Xenomorph também rouba dados bancários sensíveis, se apossa de contas, realiza transações não autorizadas, além operadores do malware vender os dados roubados aos compradores interessados.

Para se infiltrar na loja oficial de aplicativos do Google, o malware aproveita-se de apps genéricos focados em melhoramento de desempenho do aparelho, como o “Fast Cleaner”.

Imagem: ThreatFabric

Essas ferramentas representam uma isca clássica usada por trojans bancários, já que há sempre interesse nesses utilitários que prometem melhorar o desempenho de dispositivos Android.

Para evitar ser rejeitado, o Fast Cleaner busca a carga útil apenas após a instalação, de modo que no momento da submissão, o aplicativo esteja limpo.

De acordo com pesquisadores, o app é da família de dropper “Gymdrop”, descoberta pela primeira vez em novembro de 2021, passando-se por aplicativos de gerenciamento do Google Play, Chrome, ou do Bitcoin.

Imagem: Rupixen-com/Unsplash

Capacidades do malware “em desenvolvimento”

Apesar de se encontrar em desenvolvimento, o malware ainda representa uma ameaça significativa, já que além de visar pelo menos 56 bancos europeus, ele cumpre o propósito de roubar informações.

O Xenomorph pode interceptar notificações, registrar SMS, usar injeções para realizar ataques de overlay (sobreposição remota) — assumindo o controle dos dispositivos dos usuários em tempo real —, de modo que consegue capturar credenciais e senhas únicas usadas para proteger contas bancárias.

Uma vez instalado, o aplicativo envia de volta uma lista de pacotes instalados no dispositivo infectado para carregar as overlays adequadas. Para isso, o software malicioso solicita a concessão de permissões do Serviço de Acessibilidade após a instalação, logo depois abusa desses privilégios conforme necessário para conceder a si mesmo permissões adicionais.

Imagem: ThreatFabric

Seu mecanismo de Acessibilidade é muito detalhado, e foi projetado com uma abordagem modular em mente. Ele contém módulos para cada ação específica exigida pelo bot, e pode ser facilmente ampliado para suportar mais funcionalidades. Não seria surpreendente ver este bot esportivo com capacidades semi-ATS em um futuro muito próximo.

Como por exemplo, as funções de keylogging e coleta de dados comportamentais. Apesar dos comandos aparecerem no código, elas ainda não foram implementadas. Entretanto, para ativar extensas funções de sifonagem de dados, é necessário apenas pequenas implementações e modificações no código, dando a qualquer momento capacidades de nível seguinte ao malware.

Devido ao status “em desenvolvimento”, os pesquisadores da ThreatFabric avaliam que o Xenomorph não é uma forte ameaça no momento. Entretanto, com o tempo, o seu potencial pode ser “comparável a outros modernos trojans bancários de Android”, como o próprio Alien.

Para evitá-lo, os usuários não devem instalar aplicativos que contenham promessas suspeitas, como boas demais para ser verdade. Checar a caixa de opiniões do aplicativo também pode, às vezes, ajudar a evitar essas ameaças.

Via BleepingComputer