銀行木馬Xenomorph再進化 鎖定全球400家金融機構
編譯/鄭智懷
荷蘭資安業者ThreatFabric在最新發布的報告指出,網路犯罪分子開始關注手機銀行領域;最典型的例子是目前已經更新至第三代的Android銀行木馬Xenomorph。研究發現,相較於第一代版本,最新版的Xenomorph鎖定的攻擊目標已經擴增六倍,達400多家金融機構。
ThreatFabric表示,第一代Xenomorph在2022年2月被發現,開發者將其上傳至Google Play銷售,下載量逾五萬次。在該版本中,Xenomorph主要使用注入(Injection)式攻擊手法執行覆蓋攻擊(overlay attack)以獲得56家歐洲銀行的受害者用戶名與密碼。第二代Xenomorph則大修程式碼,增加模組化靈活性,但僅做測試,並未大規模散播。
報告中提到,目前發展至第三代的Xenomorph新增多款新功能,使其成為目前惡意市場上最先進且最危險的惡意程式之一。其中最引人注目的三大新功能分別是引進自動轉帳服務系統(ATS)、竊取受害者cookie,以及記錄第三方身分認證內容。
基於上述三項新功能,攻擊者首先無需執行遠端控制,可以直接自動竊取資料─包含憑證、帳戶餘額,以及執行自動化交易、轉帳等操作;其次,可以劫持受害者的線上對話並接管他們的帳戶;最後,得以突破多重因素驗證(MFA)。
尤其在銀行逐漸放棄使用簡訊式多重因素認證,轉為建議客戶採用App式多重因素認證的風潮下,第三代Xenomorph擁有紀錄第三方身分認證內容的功能,預期其破壞力會更加驚人。
而在散播手法上,開發者也進一步升級,利用全新的Zombinder 平台,將最新版Xenomorph植入合法的正版Android 應用軟體等手法,儘可能感染更多的受害者設備。
ThreatFabric觀察發現,第三代Xenomorph主要鎖定來自美國、西班牙、土耳其、波蘭、澳洲、加拿大、義大利、葡萄牙、法國、德國、阿拉伯聯合大公國和印度等國家的400家金融機構。除了傳統金融機構,如銀行之外,最新版Xenomorph的攻擊目標還囊括了Binance、BitPay、KuCoin、Gemini 和 Coinbase等13款加密貨幣錢包。
資料來源:ThreatFabric
瀏覽 815 次