Wajah Baru Xenomorph

Wajah baru Xenomorph menambah kegaduhan baru di dunia maya, dibekali dengan kemampuan baru untuk melakukan serangan seperti melalui framework Automatic Transfer System (ATS) baru dan kemampuan mencuri kredensial untuk 400 bank.

Xenomorph pertama kali ditemukan pada Februari 2022, yang merupakan versi pertama trojan perbankan di Google Play Store, tempat ia mengumpulkan lebih dari 50.000 unduhan.

Baca juga: Jutaan Seluler Terinfeksi Malware

Wajah Baru Xenomorph

Versi pertama itu menargetkan 56 bank Eropa yang menggunakan suntikan untuk serangan overlay dan menyalahgunakan izin Layanan Aksesibilitas untuk melakukan intersepsi notifikasi guna mencuri kode sekali pakai.

Pengembangan malware berlanjut sepanjang tahun 2022 oleh pengembangnya, “Hadoken Security”, tetapi rilis terbarunya tidak pernah didistribusikan dalam jumlah besar.

Sebaliknya, Xenomorph v2, yang dirilis pada Juni 2022, hanya memiliki aktivitas pengujian singkat di dunia maya.

Namun, versi kedua terkenal karena perombakan kodenya yang lengkap, yang membuatnya lebih modular dan fleksibel.

Xenomorph v3 jauh lebih mumpuni dan matang dari versi sebelumnya, mampu mencuri data secara otomatis, termasuk kredensial, saldo rekening, melakukan transaksi perbankan, dan menyelesaikan transfer dana.

Dengan fitur-fitur baru ini, Xenomorph sekarang dapat menyelesaikan otomatisasi seluruh rantai penipuan, dari infeksi hingga eksfiltrasi dana, menjadikannya salah satu trojan Android Malware paling canggih dan berbahaya yang beredar.

Kemungkinan Hadoken berencana menjual Xenomorph ke operator melalui platform MaaS (malware sebagai layanan), dan peluncuran situs web yang mempromosikan versi baru malware memperkuat hipotesis ini.

Saat ini, Xenomorph v3 sedang didistribusikan melalui platform ‘Zombinder’ di Google Play Store sebagai trik untuk mengelabui penggunanya.

Dengan menyamar sebagai pengonversi mata uang dan beralih menggunakan ikon Play Protect setelah memasang payload berbahaya.

Baca juga: Jutaan Malware Android Menyebar lewat Google Play Store

Target Baru

Versi terbaru Xenomorph menargetkan 400 lembaga keuangan, terutama dari Amerika Serikat, Spanyol, Turki, Polandia, Australia, Kanada, Italia, Portugal, Prancis, Jerman, UEA, dan India.

Beberapa contoh institusi yang ditargetkan diantaranya

• Chase.
• Citibank.
• American Express.
• ING.
• HSBC.
• Deutsche Bank.
• Wells Fargo.
• Amex.
• Citi.
• BNP.
• UniCredit.
• National Bank of Canada.
• BBVA.
• Santander.
• Dan Caixa.

Selain itu, malware tersebut menargetkan 13 dompet cryptocurrency, termasuk Binance, BitPay, KuCoin, Gemini, dan Coinbase.

Pintasan MFA otomatis

Fitur paling menonjol yang diperkenalkan dalam versi Xenomorph baru adalah kerangka kerja ATS, yang memungkinkan penjahat dunia maya untuk:

• Mengekstrak kredensial secara otomatis

• Memeriksa saldo rekening

• Melakukan transaksi

• Mencuri uang dari aplikasi target tanpa melakukan tindakan jarak jauh.

Sebagai gantinya, operator hanya mengirimkan skrip JSON yang diubah Xenomorph menjadi daftar operasi dan mengeksekusinya secara mandiri pada perangkat yang terinfeksi.

Mesin [eksekusi ATS] yang digunakan oleh Xenomorph menonjol dari pesaingnya berkat banyaknya pilihan tindakan yang memungkinkan yang dapat diprogram dan dapat disertakan dalam skrip ATS, selain sistem yang memungkinkan eksekusi bersyarat dan prioritas tindakan.

Salah satu kemampuan yang paling mengesankan dari kerangka kerja ATS malware adalah kemampuannya untuk mencatat konten aplikasi autentikasi pihak ketiga, mengalahkan perlindungan MFA (autentikasi multi-faktor) yang sebaliknya akan memblokir transaksi otomatis.

Bank secara bertahap meninggalkan MFA SMS dan malah menyarankan agar pelanggan menggunakan aplikasi autentikator, jadi melihat kemampuan Xenomorph untuk mengakses aplikasi ini di perangkat yang sama sangat mengganggu.

Baca juga: Malware Android Merebak Penyingkat URL Biang Keroknya

Pencuri Cookie

Selain hal di atas, Xenomorph baru menampilkan pencuri cookie yang dapat merebut cookie dari Android CookieManager, yang menyimpan cookie sesi pengguna.

Pencuri meluncurkan jendela browser dengan URL layanan resmi dengan antarmuka JavaScript diaktifkan, menipu korban untuk memasukkan detail login mereka.

Pelaku ancaman mencuri cookie, yang memungkinkan untuk membajak sesi web korban dan mengambil alih akun mereka.

Saran Atasi Xenomorph

Xenomorph adalah malware baru yang terkenal memasuki ruang cybercrime setahun yang lalu.

Dengan dirilisnya versi utama ketiganya, ini merupakan ancaman yang jauh lebih besar bagi pengguna Android di seluruh dunia.

Mempertimbangkan saluran distribusinya saat ini, pengguna Zombinder harus berhati-hati dengan aplikasi yang mereka pasang dari Google Play, membaca ulasan, dan menjalankan pemeriksaan latar belakang penerbit.

Secara umum, disarankan untuk meminimalkan jumlah aplikasi yang berjalan di ponsel Anda dan hanya menginstal aplikasi dari vendor yang dikenal dan tepercaya.

Sumber berita:

BleepingComputer