Una nueva versión del troyano bancario Xenomorph es capaz de automatizar por completo toda la cadena de fraude

Malware
Malware

Un equipo de investigadores ha detectado una nueva versión del ‘malware’ Xenomorph, un ‘software’ malicioso para Android que permite la automatización de transferencias bancarias y que está dirigida a más de 400 instituciones bancarias.

En febrero de 2022 la compañía de ciberseguridad ThreatFabric descubrió este troyano bancario para Android, que adquirió el nombre de Xenomorph porque estaba vinculado con otro troyano bancario parecido, Alien, con quien compartía ciertas características.

En base al registro de la actividad de este ‘malware’, la empresa concluyó que esta variante, distribuida por GymDrop, se dirigía a 56 bancos europeos diferentes –incluidos algunos españoles–y que se había instalado unas 50.000 veces a través de Google Play Store.

La compañía ha anunciado recientemente que, tras analizar la actividad de este troyano, ha visto «un cambio radical» en su comportamiento, puesto que los ciberdelincuentes han comenzado a atender más al mundo de la banca móvil.

ThreatFabric ha recordado que Xenomorph «siempre se ha caracterizado por esfuerzos de distribución cortos» y que su actividad sugería que los ciberdelincuentes «se oponían a una distribución real a gran escala con intención fraudulenta».

Sin embargo, se ha tenido acceso a una tercera variante de esta familia de ‘malware’, Xenomorph V3 o C, capaz de automatizar por completo toda la cadena de fraude, desde la infección hasta la exfiltración de fondos, «lo que lo convierte en uno de los troyanos de ‘malware’ de Android más avanzados y peligrosos en circulación».

En concreto, esta variante del troyano podría afectar a más de 400 instituciones bancarias y financieras de todo el mundo, incluidas billeteras de criptomonedas, con un aumento de más de seis veces con respecto a sus variantes anteriores.

Esta se implementa mediante Zombinder, una aplicación vinculada a un conversor de divisas legítimo que descarga una falsa ‘app’ que se hace pasar por el servicio de seguridad del dispositivo Google Protect y se instala para ejecutar carga maliciosa.

Según la compañía, los ciberdelincuentes han equipado este ‘malware’ con compatibilidad con un marco de sistemas de automatización de transferencias (ATS, por sus siglas en inglés) que utiliza el denominado condensador de arrancque (RUM).

De ese modo, el ATS se utiliza para definir un conjunto de características que permiten a los atacantes completar transacciones económicas fraudulentas en dispositivos infectados; pueden extraer automáticamente credenciales de acceso, conocer el saldo de las cuentas u obtener tokens sin la necesidad de estar en contacto con un operador.

La compañía ha comentado que este troyano puede extraer fácilmente la información personal de identificación (PII) requeridos y usarlos para realizar actividades delictivas. Con ello, ha recordado que los bancos están abandonando el uso de SMS para realizar la autenticación multifactor (MFA) y que, en su lugar, se están implementando aplicaciones de Autenticadores.

De ahí que los ciberdelincuentes hayan creado un módulo ATS para recopilar datos cada vez que el ‘malware’ inicia la aplicación de autenticación y utiliza condiciones de activación flexibles, por lo que los atacantes pueden diseñar diferentes escenarios de acceso y aumentar la efectividad de cada ataque.

Así, Xenomorph presenta una secuencia de comandos para extraer información de las cuentas a las que tiene acceso, como completar una transacción fraudulenta. Asimismo, la última versión de este troyano ha desarrollado una nueva capacidad para robar ‘cookies’.

Estos elementos permiten a los usuarios mantener sesiones abiertas en sus navegadores sin tener que ingresar de nuevo sus credenciales. De ese modo, una vez esté en manos de los ciberdelincuentes estos pueden acceder libremente a las webs de las víctimas.

Por último, ThreatFabric ha destacado que ha descubierto un sitio web dedicado a la publicidad de este ‘malware’ para Android, «lo que indica que tiene claras intenciones de ingresar en el panorama del ‘malware’ como servicio (MaaS)», según un comunicado.

Te puede interesar

CONTRIBUYE CON PERIODISTA DIGITAL

QUEREMOS SEGUIR SIENDO UN MEDIO DE COMUNICACIÓN LIBRE

Buscamos personas comprometidas que nos apoyen

COLABORA

Lo más leído