威脅全球400多家銀行的金融木馬

近日，針對安卓系統的銀行木馬Xenomorph發布第三個版本，攻擊力大增，其全新的自動轉賬系統（ATS）框架可以竊取全球400多家銀行的用戶賬戶。更可怕的是，該木馬可以繞過包括身份驗證器在內的多因素認證方法。

最先進、最危險的木馬之一

2022年2月，ThreatFabric首次在Google Play應用商店中發現了Xenomorph的第一個版本，累計下載量超過了5萬次。

Xenomorph的第一個版本使用注入方法對56家歐洲銀行進行覆蓋攻擊，并濫用可訪問性服務權限來執行通知攔截，以竊取一次性口令。

整個2022年，Xenomorph的作者“Hadoken Security”都在持續開發，但新版本的分發量很少。

雖然2022年6月份發布的第二版Xenomorph v2經歷了大幅度的代碼重構，更加模塊化和靈活，但是“雷聲大雨點小”，在野外只有短暫的測試活動。

但不久前發布的Xenomorph第三個版本引起了網絡安全業界的警惕，該版本比以前的版本更加強大和成熟，能夠自動竊取數據，包括憑據、賬戶余額、執行銀行交易和完成資金轉賬。

“有了這些新功能，Xenomorph現在能夠完成從感染到資金泄露的整個欺詐鏈的自動化，這使其成為在野外流通的最先進和最危險的Android惡意軟件木馬之一。”ThreatFabric警告說。

通過MaaS模式掙錢

ThreatFabric報告稱，Hadoken很可能計劃通過MaaS（惡意軟件即服務）平臺向網絡犯罪組織出售Xenomorph，并且還推出一個推廣新版惡意軟件的網站（下圖）。

目前，Xenomorph v3版本正通過Google Play商店的“Zombinder”平臺進行分發，冒充貨幣轉換器，并在用戶安裝惡意負載后切換到Play Protect圖標。

威脅全球400多家銀行

最新版本的Xenomorph針對全球400家金融機構，主要分布在美國、西班牙、土耳其、波蘭、澳大利亞、加拿大、意大利、葡萄牙、法國、德國、阿聯酋和印度。

目標銀行的國家分布 數據來源：ThreatFabric

Xenomorph的目標包括大通、花旗銀行、美國運通、ING、匯豐銀行、德意志銀行、富國銀行、美國運通、法國巴黎銀行、聯合信貸、加拿大國家銀行、西班牙廣播銀行、桑坦德銀行和凱克薩銀行。

ThreatFabric在其報告（鏈接在文末）的附錄中列出了所有400家目標銀行。

此外，Xenomorph還可攻擊多達13個加密貨幣錢包，包括幣安、BitPay、KuCoin、Gemini和Coinbase。

自動繞過多因素認證

新版Xenomorph最引人注目的新功能是ATS框架，能為網絡犯罪分子自動提取受害者賬戶憑據，檢查賬戶余額，進行交易以及從目標應用程序中竊取資金，而無需執行遠程操作。操作員只需發送JSON腳本，Xenomorph將其轉換為操作列表，并在受感染的設備上自主執行操作。

“Xenomorph的ATS執行引擎在競爭中脫穎而出，這主要是因為ATS腳本支持添加大量可編程操作，此外還提供一個允許條件執行和操作優先級的系統。”ThreatFabrics研究人員解釋說。

Xenomorph的ATS框架最危險也令人印象深刻的功能是：能夠記錄第三方身份驗證應用程序的驗證碼，從而繞過MFA（多因素身份驗證）保護。

Xenomorph惡意軟件能夠提取谷歌身份驗證器中的動態驗證碼 來源：ThreatFabric

如今，全球越來越多的銀行開始放棄不安全的短信多因素認證，轉而建議客戶使用身份驗證器程序，但Xenomorph的新版本使得（同一部安卓手機安裝的）身份驗證器也變得不安全了。

Cookies竊取器

除此之外，新版Xenomorph還包含一個cookie竊取器，可以從安卓系統負責存儲用戶會話cookie的CookieManager中抓取cookie。

竊取器會啟動一個瀏覽器窗口，其中包含啟用了JavaScript界面的合法服務的URL，誘騙受害者輸入登錄詳細信息。

通過竊取用戶的cookie，攻擊者可以劫持受害者的網絡會話并接管他們的賬戶。

安全建議

雖然進入網絡犯罪領域僅一年，但Xenomorph已經成為最危險的新惡意軟件之一。

隨著第三個版本的發布，Xenomorph對全球安卓手機用戶的威脅大增。

除了需要降低對Google Play商店的信任外，安卓用戶還需要意識到，基于身份驗證器的多因素認證也未必靠譜，在安卓手機上已經可以被惡意軟件繞過（建議將身份驗證器程序和銀行客戶端程序安裝在不同的設備上）。

最后，建議用戶采用“最少可用原則”，手機上運行的應用程序數量盡可能少，并且僅安裝值得信賴的供應商的應用程序。