你的銀行賬戶有可能會自動轉(zhuǎn)賬給他人，你敢信？

不止如此，你的各類敏感憑據(jù)、賬戶余額、執(zhí)行銀行交易等信息都可能會被自動竊取。如此隱匿而危險的威脅行為均來自銀行木馬Xenomorph，該木馬軟件專門針對安卓系統(tǒng)。

近日，針對安卓系統(tǒng)的銀行木馬Xenomorph發(fā)布第三個版本，攻擊力大增，其全新的自動轉(zhuǎn)賬系統(tǒng)（ATS）框架可以竊取全球400多家銀行的用戶賬戶。更可怕的是，該木馬可以繞過包括身份驗證器在內(nèi)的多因素認證方法。實在是猖獗至極！

圖源：ThreatFabric

這種銀行木馬軟件，不僅能夠在用戶不知情的情況下竊取銀行賬戶信息和枚舉敏感數(shù)據(jù)的惡意程序，還能巧妙地隱藏在常見的軟件或文件中，在用戶不經(jīng)意間侵入電腦系統(tǒng)，并進行監(jiān)視、竊取等惡意活動。

這幾年間基于這種銀行木馬軟件的新型網(wǎng)絡犯罪手法不斷開始浮出水面，給廣大手機用戶和銀行系統(tǒng)構(gòu)成了嚴重威脅。

危害性大增的Xenomorph第三版本“問世”

談起Xenomorph，就不得不先來看看其“前世今生”。

Xenomorph由臭名昭著的 Hadoken 團伙開發(fā)，在2022 年一整年都活躍頻繁。

該木馬和 2020 年秋季開始流行的 Alien 惡意軟件也存在一定關聯(lián)。雖然相關代碼和 Alien 相似，但兩者的功能完全不同。據(jù)研究人員推測，這兩種惡意軟件可能是由同一行為者開發(fā)的，或者至少是由熟悉 Alien 銀行木馬代碼庫的人開發(fā)的。

Xenomorph 與 Alien 既有相似之處，但又頗有不同。

和Alien一樣，Xenomorph也能夠繞過 Google Play 商店實施的安全保護，此前研究人員在官方商店中發(fā)現(xiàn)它偽裝成生產(chǎn)力應用程序，例如“Fast Cleaner”。

圖源：ThreatFabric

而兩者間不同的在于，Xenomorph 的主要特點就是“快打快收”，通過 GymDrop 或者 Zombinder 進行短期快速分發(fā)，相比 Alien 其破壞力要強得多。

去年2月，Xenomorph的第一個版本被ThreatFabric首次在Google Play應用商店中發(fā)現(xiàn)，當時的累計下載量超過了5萬次。

據(jù)悉，Xenomorph 的第一個變種由 GymDrop 在 2022 年 2 月開始分發(fā)，后來又嘗試了 BugDrop 與 Zombinder。Xenomorph v3 由 Zombinder 應用程序分發(fā)，偽裝成一個貨幣轉(zhuǎn)換工具。

圖源：ThreatFabric

同時，該惡意軟件的日志記錄功能非常強大，可以收集受害者的應用程序行為數(shù)據(jù)，即使不在潛在攻擊應用程序范圍內(nèi)。

ThreatFabric曾在分析報告中表示，一旦惡意軟件在設備上啟動并運行，就能濫用輔助功能服務來記錄設備上發(fā)生的一切便，如果用戶打開的應用程序是所針對的銀行類應用，Xenomorph將觸發(fā)覆蓋注入，并顯示一個冒充的WebView活動。此外，Xenomorph還具備通知攔截功能，能夠提取通過短信收到的雙因素驗證碼。

該木馬去年就曾使用注入方法對56家歐洲銀行進行覆蓋攻擊，并濫用可訪問性服務權限來執(zhí)行通知攔截，以竊取一次性口令。

Xenomorph 的功能特性，圖源：ThreatFabric

2022年6月份，Xenomorph 發(fā)布的第二版。V2版本經(jīng)歷了大幅度的代碼重構(gòu)，引入了模塊化的設計增加易用性。但是終究是“雷聲大雨點小”，其在野外只有短暫的測試活動。

不過也正是在那時，Xenomorph 開始嘗試引入由輔助服務支撐的運行時引擎，以便支持遠程操作。但放眼整個2022年，Xenomorph的作者“Hadoken Security”雖都在持續(xù)開發(fā)，但新版本的分發(fā)量仍然很少。

直到今年三月，Xenomorph第三個版本發(fā)布，才真正引起了網(wǎng)絡安全業(yè)界的警惕。

Xenomorph 已成為最先進、最危險的安卓銀行木馬之一

Xenomorph的第三個版本相比以前的版本更加強大和成熟，能夠自動竊取數(shù)據(jù)，包括憑據(jù)、賬戶余額、執(zhí)行銀行交易和完成資金轉(zhuǎn)賬。

研究人員發(fā)現(xiàn)，2022 年，Xenomorph 特別關注西班牙、葡萄牙和意大利。但在今年3月的攻擊中卻又新增了多個國家。最新版本的Xenomorph幾乎針對全球400家金融機構(gòu)，主要分布在美國、西班牙、土耳其、波蘭、澳大利亞、加拿大、意大利、葡萄牙、法國、德國、阿聯(lián)酋和印度。

Xenomorph的目標包括大通、花旗銀行、美國運通、ING、匯豐銀行、德意志銀行、富國銀行、法國巴黎銀行、聯(lián)合信貸、加拿大國家銀行、西班牙廣播銀行、桑坦德銀行和凱克薩銀行等。

此外，Xenomorph還可攻擊多達13個加密貨幣錢包，包括幣安、BitPay、KuCoin、Gemini和Coinbase。

這與之前的數(shù)據(jù)相比，攻擊目標數(shù)量增長了六倍以上。

目標銀行的國家分布 圖源：ThreatFabric

ATS框架為此版本“核心”功能

該版本的惡意軟件為已經(jīng)功能很完善的銀行木馬又增加了許多新功能，其中最為重要是該軟件引入了由輔助服務支撐的運行引擎，通過該引擎實現(xiàn)完整的 ATS 框架。

Xenomorph的ATS腳本支持添加大量可編程操作，此外還提供一個允許條件執(zhí)行和操作優(yōu)先級的系統(tǒng)。從而能夠為網(wǎng)絡犯罪分子自動提取受害者賬戶憑據(jù)，檢查賬戶余額，進行交易以及從目標應用程序中竊取資金，而無需執(zhí)行遠程操作。操作員只需發(fā)送JSON腳本，Xenomorph將其轉(zhuǎn)換為操作列表，并在受感染的設備上自主執(zhí)行操作。

而Xenomorph的ATS框架還能夠記錄第三方身份驗證應用程序的驗證碼，從而繞過MFA（多因素身份驗證）保護。要知道如今有不少銀行正建議客戶開始使用身份驗證程序，然而Xenomorph的此番“行徑”使得身份驗證器也不再安全。

圖源：ThreatFabric

新版本cookie竊取器可抓取用戶信息

除此之外，新版Xenomorph還包含一個cookie竊取器，可以從安卓系統(tǒng)負責存儲用戶會話cookie的CookieManager中抓取cookie。

竊取器會啟動一個瀏覽器窗口，其中包含啟用了JavaScript界面的合法服務的URL，誘騙受害者輸入登錄詳細信息。從而通過竊取用戶的cookie，攻擊者可以劫持受害者的網(wǎng)絡會話并接管他們的賬戶。

憑借上述功能更新，Xenomorph可完成從感染到資金泄露的整個欺詐鏈的自動化流程，這也使其成為在野外流通的最先進和最危險的Android惡意軟件木馬之一。

另外，根據(jù)最新的報告顯示，該軟件的開發(fā)者Hadoken很可能計劃通過MaaS平臺向網(wǎng)絡犯罪組織出售Xenomorph從而獲取一定利益，并且計劃推出一個推廣新版惡意軟件的網(wǎng)站。

結(jié)語

Xenomorph 此番攜全新升級版本“卷土重來”，進一步提升了威脅級別。同時，也凸顯出了移動威脅日益增長和日益復雜的本質(zhì)，尤其是對Android用戶。

根據(jù)今年Zimperium發(fā)布的一項研究表明，威脅攻擊者對Android的興趣明顯高于iOS，因為Android環(huán)境中存在更多漏洞，而這些漏洞極易給惡意軟件帶來“可乘之機”。

目前，廣告軟件和其他潛在的不受歡迎的應用程序仍然是Android用戶的最大威脅。

在日常使用中，安卓用戶應盡量采用“最少可用原則”，并確保手機上運行的應用程序數(shù)量盡可能少，且僅安裝值得信賴的供應商的應用程序，從而最大程度的避免被Xenomorph這類的木馬軟件所“侵蝕”。