El nuevo malware Xenomorph para Android se dirige a clientes de 56 bancos

Un nuevo malware llamado Xenomorph distribuido a través de Google Play Store ha infectado más de 50.000 dispositivos Android para robar información bancaria.

Todavía en una etapa temprana de desarrollo, Xenomorph está dirigido a usuarios de docenas de instituciones financieras en España, Portugal, Italia y Bélgica.

Los investigadores de la empresa de prevención de fraudes y delitos cibernéticos ThreatFabric que analizaron Xenomorph encontraron un código similar al troyano bancario Alien. Esto sugiere que las dos amenazas están conectadas de alguna manera: Xenomorph es el sucesor de Alien o un desarrollador ha estado trabajando en ambos.


Los troyanos bancarios como Xenomorph tienen como objetivo robar información financiera confidencial, apoderarse de cuentas, realizar transacciones no autorizadas y luego los operadores venden los datos robados a compradores interesados.

Escabullirse en la Play Store

El malware Xenomorph ingresó a Google Play Store a través de aplicaciones genéricas que aumentan el rendimiento, como "Fast Cleaner", que cuenta con 50,000 instalaciones.

Estas utilidades son un clásico señuelo de los troyanos bancarios, incluido Alien, porque siempre hay interés en herramientas que prometen mejorar el rendimiento de los dispositivos Android.

Para evadir el rechazo durante la revisión de la aplicación desde Play Store, Fast Cleaner obtiene la carga útil después de la instalación, por lo que la aplicación está limpia en el momento del envío.


ThreatFabric reconoció la aplicación como miembro de la familia de cuentagotas "Gymdrop", descubierta por primera vez en noviembre de 2021, y observó el envío de cargas útiles que se hacen pasar por aplicaciones de administración de Google Play, Chrome o Bitcoin.

Capacidades de xenomorfo

La funcionalidad de Xenomorph no está completamente desarrollada en este momento, ya que el troyano está bajo un fuerte desarrollo. Sin embargo, todavía representa una amenaza importante, ya que puede cumplir con su propósito de robo de información y apunta a no menos de 56 bancos europeos diferentes.

Por ejemplo, el malware puede interceptar notificaciones, registrar SMS y usar inyecciones para realizar ataques superpuestos, por lo que ya puede arrebatar credenciales y contraseñas de un solo uso utilizadas para proteger cuentas bancarias.

Después de su instalación, la primera acción que realiza la aplicación es enviar una lista de los paquetes instalados en el dispositivo infectado para cargar las superposiciones adecuadas.

Para lograr lo anterior, el malware solicita la concesión de permisos del Servicio de Accesibilidad en el momento de la instalación y luego abusa de los privilegios para concederse permisos adicionales según sea necesario.


Los ejemplos de comandos presentes en el código pero que aún no se han implementado se refieren a funciones de registro de teclas y recopilación de datos de comportamiento.

Como detalla el informe de ThreatFabric :

Su motor de accesibilidad es muy detallado y está diseñado con un enfoque modular en mente. Contiene módulos para cada acción específica requerida por el bot y se puede ampliar fácilmente para admitir más funcionalidades. No sería sorprendente ver este bot con capacidades semi-ATS en un futuro muy cercano.

Con todo, el malware puede agregar capacidades de siguiente nivel en cualquier momento, ya que solo se requieren modificaciones e implementaciones de código menores para activar funciones extensas de desvío de datos.

ThreatFabric evalúa que Xenomorph no es una gran amenaza en este momento debido a su estado "en desarrollo". Sin embargo, con el tiempo, podría alcanzar todo su potencial, "comparable a otros troyanos bancarios Android modernos".

Para mantenerse alejado del malware de Android que acecha en Play Store, los usuarios deben evitar instalar aplicaciones que contienen promesas que son demasiado buenas para ser verdad. Revisar las reseñas de otros usuarios a veces puede ayudar a evitar aplicaciones maliciosas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta