Ein neuer Android-Bankentrojaner mit mehr als 50.000 Installationen wurde über den offiziellen Google Play Store verbreitet. Er hat es auf 56 europäische Banken abgesehen und sammelt sensible Daten von kompromittierten Geräten.
Die von der niederländischen Sicherheitsfirma ThreatFabric als Xenomorph bezeichnete Malware, die sich in der Entwicklung befindet, soll Überschneidungen mit einem anderen Banking-Trojaner haben, der unter dem Namen Alien bekannt ist, sich aber auch in Bezug auf die angebotenen Funktionen radikal von seinem Vorgänger unterscheiden.
„Obwohl Xenomorph noch in der Entwicklung ist, verfügt er bereits über effektive Overlays und wird aktiv in den offiziellen App-Stores verbreitet“, sagt Han Sahin, Gründer und CEO von ThreatFabric. „Außerdem verfügt es über eine sehr detaillierte und modulare Engine für den Missbrauch von Zugänglichkeitsdiensten, die in Zukunft sehr fortschrittliche Funktionen wie ATS ermöglichen könnte.
Alien, ein Remote-Access-Trojaner (RAT) mit Funktionen zum Ausspähen von Benachrichtigungen und zum Diebstahl von 2FA-Authentifikatoren, tauchte kurz nach dem Ende der berüchtigten Cerberus-Malware im August 2020 auf. Seitdem wurden weitere Abspaltungen von Cerberus in freier Wildbahn gesichtet, darunter ERMAC im September 2021.
Xenomorph ist wie Alien und ERMAC ein weiteres Beispiel für einen Android-Bankentrojaner, der darauf abzielt, die Sicherheitsvorkehrungen des Google Play Store zu umgehen, indem er sich als Produktivitäts-Apps wie „Fast Cleaner“ tarnt, um ahnungslose Opfer zur Installation des Schadprogramms zu verleiten.
Es ist erwähnenswert, dass eine Fitness-Trainings-App mit über 10.000 Installationen – genannt GymDrop – im November entdeckt wurde, die den Alien-Bankentrojaner als „neues Paket mit Trainingsübungen“ tarnt.
Fast Cleaner, das den Paketnamen „vizeeva.fast.cleaner“ trägt und weiterhin im App Store erhältlich ist, war in Portugal und Spanien am beliebtesten, wie Daten des Marktforschungsunternehmens Sensor Tower zeigen, wo die App Ende Januar 2022 erstmals im Play Store auftauchte.
Außerdem wird in den Bewertungen der App gewarnt, dass „diese App Malware enthält“ und dass sie „ständig nach einem Update fragt“. Ein anderer Nutzer sagte: „Sie bringt Malware auf das Gerät und hat außerdem ein Selbstschutzsystem, sodass man sie nicht deinstallieren kann.“
Xenomorph nutzt auch die bewährte Taktik, die Opfer dazu aufzufordern, ihm Zugriffsrechte zu gewähren und diese für Overlay-Angriffe zu missbrauchen, bei denen die Schadsoftware gefälschte Anmeldebildschirme in gezielte Apps aus Spanien, Portugal, Italien und Belgien einschleust, um Anmeldedaten und andere persönliche Informationen abzuschöpfen.
Außerdem ist sie mit einer Funktion zum Abfangen von Benachrichtigungen ausgestattet, mit der sie per SMS empfangene Token für die Zwei-Faktor-Authentifizierung extrahiert und die Liste der installierten Apps abruft, deren Ergebnisse an einen entfernten Command-and-Control-Server übermittelt werden.
„Das Auftauchen von Xenomorph zeigt einmal mehr, dass Bedrohungsakteure ihr Augenmerk darauf richten, Anwendungen auf offiziellen Märkten zu landen“, so die Forscher. „Moderne Banking-Malware entwickelt sich sehr schnell weiter, und die Kriminellen beginnen, raffiniertere Entwicklungspraktiken anzuwenden, um zukünftige Updates zu unterstützen.