كشف اكتشاف حديث أجراه خبراء أمنيون عن وجود برنامج ضار يستهدف مستخدمي Android على وجه التحديد في الولايات المتحدة وكندا وإيطاليا والبرتغال وإسبانيا وبلجيكا.
المعروف باسم Xenomorph، كان مرتكبو هذا الفيروس المتطور للغاية الذي يعمل بنظام Android المصرفي يوجهون جهودهم باستمرار نحو المستخدمين الأوروبيين لأكثر من عام. ومع ذلك، فقد قاموا مؤخرًا بتوسيع عملياتهم لتشمل عملاء أكثر من 25 مؤسسة مالية أمريكية.
لقد عاد Xenomorph، وهذا التكرار أكثر فتكًا من أي وقت مضى. والآن، أصبح الخطر أكثر خطورة، حيث انتشر إلى أكثر من 100 تطبيق مالي وتطبيق للعملات المشفرة، وفقًا للمحللين.
تكتيكات التصيد الاحتيالي وتوزيع البرامج الضارة
بدأت حملة Xenomorph الحالية في منتصف أغسطس، وفقًا للمحللين في شركة الأمن السيبراني ThreatFabric، الذين كانوا يراقبون نشاط البرامج الضارة منذ فبراير 2022.
تتضمن أحدث حملة لمؤلفي البرامج الضارة عناوين URL للتصيد الاحتيالي تشجع المستخدمين على تحديث متصفحات Chrome الخاصة بهم وتنزيل APK الخطير. لا تزال البرامج الضارة تستخدم تقنيات التراكب لجمع البيانات، ولكنها الآن تلاحق البنوك الأمريكية ومجموعة متنوعة من تطبيقات العملات المشفرة.
تمكن محللو ThreatFabric من الوصول إلى البنية التحتية لاستضافة الحمولة النافعة لمشغل البرامج الضارة من خلال الاستفادة من إجراءات الأمان المتراخية الخاصة بالمشغل.
اعتبارًا من اليوم ، بلغت القيمة السوقية للعملات المشفرة 1.02 تريليون دولار. الرسم البياني: TradingView.com
وكان برنامج التحميل الخاص للبرامج الضارة، ولصوص معلومات Windows RisePro وLummaC2، وإصدارات البرامج الضارة لنظام Android Medusa وCabassous، من بين الحمولات الضارة الأخرى التي عثروا عليها هناك.
تتعلق إحدى الخصائص الجديرة بالملاحظة في الإصدار الأخير من Xenomorph ببنية نظام الحركة التلقائية (ATS) المتقدمة والقابلة للتكيف، والتي تسهل الحركة الآلية للنقود من جهاز مخترق إلى جهاز يتحكم فيه المهاجم.
Xenomorph يلاحق البنوك
يحتوي محرك ATS الخاص ببرنامج Xenomorph الضار على عدة وحدات تمكن الجهات الفاعلة في مجال التهديد من التحكم في الأجهزة المخترقة وتنفيذ مجموعة من الأنشطة الضارة.
تستهدف البرامج الضارة عملاء Chase وAmex وAlly وCiti Mobile وCitizens Bank وBank of America وDiscover Mobile. عثر باحثو ThreatFabric على عينات جديدة من أحصنة طروادة تستهدف Bitcoin وBinance وCoinbase.
استهدف فيروس Xenomorph المصرفي 56 بنكًا أوروبيًا يستخدم التصيد الاحتيالي لتراكب الشاشة في أوائل عام 2022. وقد أوصله Google Play إلى أكثر من 50,000 مستخدم.
هادوكين الأمن: أدمغة البرامج الضارة
قامت الشركة التي تقف خلفه، "Hadoken Security"، بتحسين الفيروس وأصدرت نسخة معيارية ومرنة في يونيو 2022. وكان Xenomorph واحدًا من أكبر 10 أحصنة طروادة مصرفية وكان يمثل "تهديدًا كبيرًا" لـZimperium بحلول ذلك الوقت.
اعتمادًا على التركيبة السكانية، تحتوي كل عينة من Xenomorph على حوالي مائة تراكب يستهدف مختلف البنوك وتطبيقات العملات المشفرة.
وفي الوقت نفسه، يجب على المستخدمين توخي الحذر عند مطالبتهم بترقية متصفحات هواتفهم المحمولة، حيث إن هذه الطلبات غالبًا ما تكون عبارة عن برامج تجسس مخفية.
صورة مميزة من Bleeping Computer
المصدر: https://bitcoinist.com/xenomorph-malware-attacks-us-crypto-community/