威胁全球 400 多家银行的金融木马

近日，针对安卓系统的银行木马Xenomorph发布第三个版本，攻击力大增，其全新的自动转账系统（ATS）框架可以窃取全球400多家银行的用户账户。更可怕的是，该木马可以绕过包括身份验证器在内的多因素认证方法。

最先进、最危险的木马之一

2022年2月，ThreatFabric首次在Google Play应用商店中发现了Xenomorph的第一个版本，累计下载量超过了5万次。

Xenomorph的第一个版本使用注入方法对56家欧洲银行进行覆盖攻击，并滥用可访问性服务权限来执行通知拦截，以窃取一次性口令。

整个2022年，Xenomorph的作者“Hadoken Security”都在持续开发，但新版本的分发量很少。

虽然2022年6月份发布的第二版Xenomorph v2经历了大幅度的代码重构，更加模块化和灵活，但是“雷声大雨点小”，在野外只有短暂的测试活动。

但不久前发布的Xenomorph第三个版本引起了网络安全业界的警惕，该版本比以前的版本更加强大和成熟，能够自动窃取数据，包括凭据、账户余额、执行银行交易和完成资金转账。

“有了这些新功能，Xenomorph现在能够完成从感染到资金泄露的整个欺诈链的自动化，这使其成为在野外流通的最先进和最危险的Android恶意软件木马之一。”ThreatFabric警告说。

通过MaaS模式挣钱

ThreatFabric报告称，Hadoken很可能计划通过MaaS（恶意软件即服务）平台向网络犯罪组织出售Xenomorph，并且还推出一个推广新版恶意软件的网站（下图）。

目前，Xenomorph v3版本正通过Google Play商店的“Zombinder”平台进行分发，冒充货币转换器，并在用户安装恶意负载后切换到Play Protect图标。

威胁全球400多家银行

最新版本的Xenomorph针对全球400家金融机构，主要分布在美国、西班牙、土耳其、波兰、澳大利亚、加拿大、意大利、葡萄牙、法国、德国、阿联酋和印度。

目标银行的国家分布数据来源：ThreatFabric

Xenomorph的目标包括大通、花旗银行、美国运通、ING、汇丰银行、德意志银行、富国银行、美国运通、法国巴黎银行、联合信贷、加拿大国家银行、西班牙广播银行、桑坦德银行和凯克萨银行。

ThreatFabric在其报告（链接在文末）的附录中列出了所有400家目标银行。

此外，Xenomorph还可攻击多达13个加密货币钱包，包括币安、BitPay、KuCoin、Gemini和Coinbase。

自动绕过多因素认证

新版Xenomorph最引人注目的新功能是ATS框架，能为网络犯罪分子自动提取受害者账户凭据，检查账户余额，进行交易以及从目标应用程序中窃取资金，而无需执行远程操作。操作员只需发送JSON脚本，Xenomorph将其转换为操作列表，并在受感染的设备上自主执行操作。

“Xenomorph的ATS执行引擎在竞争中脱颖而出，这主要是因为ATS脚本支持添加大量可编程操作，此外还提供一个允许条件执行和操作优先级的系统。”ThreatFabrics研究人员解释说。

Xenomorph的ATS框架最危险也令人印象深刻的功能是：能够记录第三方身份验证应用程序的验证码，从而绕过MFA（多因素身份验证）保护。

Xenomorph恶意软件能够提取谷歌身份验证器中的动态验证码来源：ThreatFabric

如今，全球越来越多的银行开始放弃不安全的短信多因素认证，转而建议客户使用身份验证器程序，但Xenomorph的新版本使得（同一部安卓手机安装的）身份验证器也变得不安全了。

Cookies窃取器

除此之外，新版Xenomorph还包含一个cookie窃取器，可以从安卓系统负责存储用户会话cookie的CookieManager中抓取cookie。

窃取器会启动一个浏览器窗口，其中包含启用了JavaScript界面的合法服务的URL，诱骗受害者输入登录详细信息。

通过窃取用户的cookie，攻击者可以劫持受害者的网络会话并接管他们的账户。

安全建议

虽然进入网络犯罪领域仅一年，但Xenomorph已经成为最危险的新恶意软件之一。

随着第三个版本的发布，Xenomorph对全球安卓手机用户的威胁大增。

除了需要降低对Google Play商店的信任外，安卓用户还需要意识到，基于身份验证器的多因素认证也未必靠谱，在安卓手机上已经可以被恶意软件绕过（建议将身份验证器程序和银行客户端程序安装在不同的设备上）。

最后，建议用户采用“最少可用原则”，手机上运行的应用程序数量尽可能少，并且仅安装值得信赖的供应商的应用程序。

封面来源于网络，如有侵权请联系删除