Xenomorph Android Banking Trojan regresa con una nueva y más potente variante

Una nueva variante del troyano bancario Android llamado Xenomorph ha surgido en la naturaleza, revelan los últimos hallazgos de ThreatFabric.

Nombrado "Xenomorph 3rd generation" por Hadoken Security Group, el actor de amenazas detrás de la operación, la versión actualizada viene con nuevas características que le permiten realizar fraudes financieros de manera fluida.

"Esta nueva versión del malware agrega muchas capacidades nuevas a un banquero de Android ya rico en funciones, sobre todo la introducción de un motor de tiempo de ejecución muy extenso impulsado por los servicios de accesibilidad, que es utilizado por los actores para implementar un marco ATS completo", dijo la firma de seguridad holandesa en un informe compartido con The Hacker News.

Xenomorph salió a la luz por primera vez hace un año, en febrero de 2022, cuando se descubrió que apuntaba a 56 bancos europeos a través de aplicaciones de cuentagotas publicadas en Google Play Store.

En contraste, la última iteración del banquero, que tiene un sitio web dedicado que anuncia sus características, está diseñada para apuntar a más de 400 instituciones bancarias y financieras, incluidas varias billeteras de criptomonedas.


ThreatFabric dijo que detectó muestras distribuidas a través de Content Delivery Network (CDN) de Discord, una técnica que ha experimentado un aumento desde 2020. Dos de las aplicaciones con Xenomorph se enumeran a continuación:

• Juega a Proteger (com.great.calm)
• Play Protect (meritoriousness.mollah.presser)

"Xenomorph v3 es desplegado por una aplicación Zombinder 'vinculada' a un convertidor de moneda legítimo, que descarga como una 'actualización' una aplicación que se hace pasar por Google Protect", explicó ThreatFabric.

Zombinder se refiere a un servicio de enlace APK anunciado en la web oscura desde marzo de 2022, en el que el malware se entrega a través de versiones troyanizadas de aplicaciones legítimas. Desde entonces, la oferta ha sido cerrada.

Los objetivos de la última campaña van más allá de su enfoque europeo (es decir, España, Italia y Portugal) para incluir entidades financieras belgas y canadienses.

Se sabe que Xenomorph, al igual que otro malware bancario, abusa de los Servicios de accesibilidad para realizar fraudes a través de ataques de superposición. También incluye capacidades para completar automáticamente transacciones fraudulentas en dispositivos infectados, una técnica llamada Sistema de transferencia automatizado (ATS).


Con los bancos alejándose de SMS para la autenticación de dos factores (2FA) a las aplicaciones de autenticación, el troyano Xenomorph incorpora un módulo ATS que le permite iniciar la aplicación y extraer los códigos de autenticación.

El malware de Android se jacta además de las funciones de robo de cookies, lo que permite a los actores de amenazas realizar ataques de adquisición de cuentas.

"Con estas nuevas características, Xenomorph ahora puede automatizar completamente toda la cadena de fraude, desde la infección hasta la exfiltración de fondos, lo que lo convierte en uno de los troyanos de malware de Android más avanzados y peligrosos en circulación", dijo la compañía.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta