銀行木馬Xenomorph再進化　鎖定全球400家金融機構

編譯／鄭智懷

荷蘭資安業者ThreatFabric在最新發布的報告指出，網路犯罪分子開始關注手機銀行領域；最典型的例子是目前已經更新至第三代的Android銀行木馬Xenomorph。研究發現，相較於第一代版本，最新版的Xenomorph鎖定的攻擊目標已經擴增六倍，達400多家金融機構。

ThreatFabric表示，第一代Xenomorph在2022年2月被發現，開發者將其上傳至Google Play銷售，下載量逾五萬次。在該版本中，Xenomorph主要使用注入（Injection）式攻擊手法執行覆蓋攻擊（overlay attack）以獲得56家歐洲銀行的受害者用戶名與密碼。第二代Xenomorph則大修程式碼，增加模組化靈活性，但僅做測試，並未大規模散播。

報告中提到，目前發展至第三代的Xenomorph新增多款新功能，使其成為目前惡意市場上最先進且最危險的惡意程式之一。其中最引人注目的三大新功能分別是引進自動轉帳服務系統（ATS）、竊取受害者cookie，以及記錄第三方身分認證內容。

基於上述三項新功能，攻擊者首先無需執行遠端控制，可以直接自動竊取資料─包含憑證、帳戶餘額，以及執行自動化交易、轉帳等操作；其次，可以劫持受害者的線上對話並接管他們的帳戶；最後，得以突破多重因素驗證（MFA）。

尤其在銀行逐漸放棄使用簡訊式多重因素認證，轉為建議客戶採用App式多重因素認證的風潮下，第三代Xenomorph擁有紀錄第三方身分認證內容的功能，預期其破壞力會更加驚人。

而在散播手法上，開發者也進一步升級，利用全新的Zombinder 平台，將最新版Xenomorph植入合法的正版Android 應用軟體等手法，儘可能感染更多的受害者設備。

ThreatFabric觀察發現，第三代Xenomorph主要鎖定來自美國、西班牙、土耳其、波蘭、澳洲、加拿大、義大利、葡萄牙、法國、德國、阿拉伯聯合大公國和印度等國家的400家金融機構。除了傳統金融機構，如銀行之外，最新版Xenomorph的攻擊目標還囊括了Binance、BitPay、KuCoin、Gemini 和 Coinbase等13款加密貨幣錢包。

資料來源：ThreatFabric

瀏覽 715 次