Les chercheurs en sécurité de la société de cybersécurité ThreatFabric ont découvert une nouvelle campagne exploitant le malware « Xenomorph » sur Android.
La campagne cible les personnes aux États-Unis, au Canada, en Espagne et dans d’autres régions, et Xenomorph utilise des superpositions qui ressemblent à diverses institutions financières pour voler les informations d’identification bancaires des gens. Il cible également les portefeuilles de cryptomonnaies.
Ordinateur qui bipe a rendu compte des découvertes de ThreatFabric, offrant un bref aperçu de l’histoire de Xenomorph depuis son apparition en 2022. Le malware a subi quelques révisions, et la dernière campagne qui l’utilise tente de l’introduire sur les appareils en incitant les gens à télécharger une fausse mise à jour de Chrome. Une fenêtre contextuelle avertit les utilisateurs qu’ils utilisent une version obsolète de Google Chrome et les encourage à mettre à jour le navigateur. Cependant, si les gens appuient sur le bouton de mise à jour de la fenêtre contextuelle, le logiciel malveillant Xenomorph est installé à la place.
Le principal point à retenir pour les utilisateurs d’Android devrait être d’éviter d’installer les mises à jour de Chrome – ou quoi que ce soit d’autre – à partir d’une fenêtre contextuelle de site Web. Pour la grande majorité des utilisateurs d’Android, les mises à jour de Chrome et d’autres applications proviendront via le Play Store et uniquement le Play Store.
Une fois installé, ThreatFabric indique que Xenomorph utilise des « superpositions » pour voler des informations. Le malware est livré avec environ 100 superpositions ciblant différents ensembles de banques et d’applications de cryptographie en fonction de la région ciblée.
De plus, les versions récentes de Xenomorph incluent de nouvelles fonctionnalités pour l’améliorer. Cela inclut une fonctionnalité « imitation » qui donne au malware la possibilité d’agir comme une autre application. Mimic inclut une activité intégrée appelée « IDLEActivity », qui peut agir comme une WebView pour afficher du contenu Web légitime. Ces fonctionnalités remplacent la nécessité pour le logiciel malveillant de masquer les icônes du lanceur d’applications après l’installation, comportement qui peut être signalé comme suspect par les outils de sécurité.
Xenomorph dispose également d’une fonctionnalité « ClickOnPoint » qui permet aux opérateurs du malware de simuler des clics sur des parties spécifiques de l’écran. Cela permet aux opérateurs de dépasser les écrans de confirmation ou d’effectuer d’autres actions simples sans déclencher d’avertissements de sécurité.
La dernière nouvelle fonctionnalité découverte par les chercheurs était un outil « anti-sommeil » pour empêcher un appareil d’éteindre son écran.
Crédit image d’en-tête : Shutterstock
Source: Ordinateur qui bipe
