Une nouvelle version du dangereux Logiciel malveillant Xenomorph Android a été repéré dans la nature, ce qui inclut un certain nombre de nouvelles fonctionnalités, notamment la possibilité de voler les informations d’identification de 400 applications bancaires différentes.
Découvert pour la première fois par la société de cybersécurité Tissu de menace en février de l’année dernière, le malware Xenomorph original était un cheval de Troie bancaire distribué via des applications malveillantes sur Google Play Store. Ce qui l’a rendu particulièrement dangereux, c’est la manière dont il a utilisé des superpositions de 56 applications bancaires européennes pour voler les informations d’identification des utilisateurs et vider leurs comptes.
Puis en juin 2022, Xenomorph v2 est sorti avec une refonte majeure du code qui a rendu le malware modulaire et plus flexible. Maintenant cependant, comme BipOrdinateur (s’ouvre dans un nouvel onglet) rapports, une troisième version du malware a de nouveau été découverte par ThreatFabric.
Cette nouvelle version cible 400 banques et institutions financières des États-Unis, du Canada, de l’Inde et de plusieurs pays européens, dont Chase, Citibank, American Express, ING, HSBC, Wells Fargo, la Banque nationale du Canada, etc. Vous pouvez trouver la liste complète des applications bancaires ciblées par Xenomorph v3 dans ThreatFabric’s rapport complet (s’ouvre dans un nouvel onglet).
Xénomorphe v3
Xenomorph v3 ajoute de nombreuses nouvelles fonctionnalités qui en font une menace encore plus grande, notamment la possibilité de voler automatiquement des données telles que les informations d’identification et les soldes de compte, mais il peut également effectuer des transactions bancaires et transférer des fonds.
Dans son rapport sur le sujet, ThreatFabric explique que « Xenomorph est désormais capable d’automatiser complètement toute la chaîne de fraude, de l’infection à l’exfiltration de fonds », ce qui en fait l’un des chevaux de Troie malveillants Android les plus avancés et les plus dangereux actuellement en circulation. Outre 400 institutions bancaires et financières, il peut également désormais voler des crypto-monnaies de plusieurs portefeuilles cryptographiques.
Après avoir examiné des échantillons de Xenomorph v3, ThreatFabric a découvert un site Web dédié annonçant la dernière version du logiciel malveillant. Cela fait allusion au fait que Hadoken Security, qui a créé le malware, vise à le distribuer en utilisant un modèle commercial de malware-as-a-service (MaaS). En tant que tel, il sera vendu à d’autres cybercriminels via un modèle d’abonnement pour être utilisé dans leurs attaques.
Pour le moment cependant, Xenomorph v3 est actuellement distribué via la plate-forme « Zombinder » sur le Google Play Store. Cette plate-forme est particulièrement dangereuse car les pirates qui l’ont créée ont trouvé un moyen d’ajouter des logiciels malveillants aux applications Android légitimes. Contrairement aux applications malveillantes, il s’agit d’applications Android classiques qui contiennent une charge utile malveillante.
Contournement de MFA et vol de cookies
Si cela ne suffisait pas, le cadre ATS de Xenomorph v3 permet aux cybercriminels d’extraire automatiquement les informations d’identification, de vérifier les soldes des comptes, de voler de l’argent et plus encore à partir d’un smartphone Android infecté.
Le framework ATS du malware lui permet également de contourner l’authentification multifacteur (AMF) qui seraient normalement utilisés pour bloquer ces types de transactions automatisées. Au lieu d’utiliser des SMS pour MFA dans vos applications bancaires, vous pouvez contourner ce problème en utilisant une application d’authentification comme Authentificateur Google ou Authentificateur Microsoft plutôt. Cependant, toutes les banques ne proposent pas actuellement cette option.
Xenomorph v3 inclut même un voleur de cookies qui peut prendre les cookies de votre téléphone à partir du gestionnaire de cookies Android. Pour ce faire, il lance une fenêtre de navigateur d’un service légitime et incite une victime à entrer ses informations d’identification. Avec ces cookies de session en main, un pirate peut alors détourner une session Web et prendre le contrôle de vos comptes.
Comment rester à l’abri des logiciels malveillants Android
Si vous ne l’avez pas encore compris, Xenomorph v3 est une menace très sérieuse qui peut vider vos comptes bancaires et prendre le contrôle de vos autres comptes en ligne, car il vole automatiquement les mots de passe.
Il est actuellement distribué à l’aide de Zombinder sur le Play Store, vous devez donc être extrêmement prudent lors de l’installation de nouvelles applications sur les meilleurs téléphones Android, même si elles proviennent de magasins d’applications officiels. En même temps, c’est une bonne idée de limiter globalement le nombre d’applications que vous avez installées sur votre téléphone.
Cependant, lors de l’installation de nouvelles applications, vous souhaitez vérifier leurs notes et lire d’abord les avis sur le Play Store. À partir de là, vous souhaitez également rechercher des avis externes sur d’autres sites et les avis vidéo sont encore meilleurs puisque vous pouvez voir une application en action. Rechercher l’éditeur d’une application est une bonne idée et cela peut vous aider à déterminer s’il est légitime ou non.
En ce qui concerne la protection de votre téléphone Android, vous voulez vous assurer que Google Play Protect est activé car il analyse vos applications existantes et toutes les nouvelles que vous installez à la recherche de logiciels malveillants. Pour une protection supplémentaire, vous pouvez toujours installer l’un des meilleures applications antivirus Android à côté cependant.
Ce ne sera probablement pas la dernière fois que nous entendrons parler de Xenomorph v3, d’autant plus que ses créateurs cherchent à en faire un service payant que d’autres cybercriminels pourront utiliser dans leurs attaques.