Danny Palmer Senior Reporter
Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld bio den 23. februar 2022 | Emne: Sikkerhed 
Hvorfor Joker Android-malware er blevet så vellykket, og hvordan man stopper det. Se nu
En ny form for Android-bank-trojanske malware retter sig mod kunder i 56 forskellige europæiske banker og er blevet downloadet af over 50.000 brugere i i løbet af et par uger.
Detaljeret af cybersikkerhedsforskere hos ThreatFabric, der har døbt det 'Xenomorph' på grund af links til en anden trojan kaldet Alien, dukkede denne malware først op i denne måned. Malwaren er designet til at stjæle brugernavne og adgangskoder for at få adgang til bankkonti og andre følsomme personlige oplysninger.
Som mange andre former for Android-malware har malwaren tilsyneladende formået at omgå beskyttelsen og kommer ind på smartphones via apps i Google Play Butik.
SE: Cybersikkerhed: Lad os være taktiske (ZDNet-særrapport)
En af de identificerede apps var en renere app, der lovede at hjælpe med at fremskynde en enhed ved at fjerne ubrugt rod: appen er blevet downloadet over 50.000 gange.
Appen så ud til at tilbyde den funktionalitet, den annoncerede, men den leverer også malwaren, som stjæler brugernavne og adgangskoder ved hjælp af falske overlejringer, der aktiveres, når offeret forsøger at logge ind på bankapps. Overlejringen vises i stedet for den rigtige login-skærm, hvilket betyder, at enhver indtastet information sendes til angriberne.
Banker i Spanien, Portugal, Italien og Belgien er i øjeblikket blandt dem, der er målrettet. Malwaren er også udstyret med overlejringer, der kan stjæle adgangskoder til e-mail-konti og cryptocurrency-punge.
Malwaren kan også opsnappe SMS- og app-meddelelser for at hjælpe med at stjæle den godkendelse, der er nødvendig for at omgå enhver multi-faktor-godkendelse, der er blevet anvendt.
ThreatFabric har knyttet Xenomorph til en anden Android-trojansk malware, Alien, på grund af design-ligheder. De to former for malware bruger den samme HTML-ressourceside til at narre ofre til at give adgangstjenester privilegier, som de misbruger til at hjælpe med at tage kontrol over enheden.
Ud over dette har begge en lignende stil for tilstandssporing ved brug af 'SharedPreferences'-filen – og i begge tilfælde har filen fået samme navn, ringO, som er navnet på den formodede oprindelige udvikler af Alien.
Forskere bemærker også, at begge former for malware deler de samme “ejendommelige” logningsstrenge, hvoraf nogle går tilbage til Cerberus, forløberen for Alien.
Forskerne bemærker, at malwaren stadig ser ud til at være i de tidlige udviklingsstadier, da mange kommandoer i koden endnu ikke er aktive. Der er også potentiale for, at malwaren kan målrettes mod banker i en bredere række af lande.
“I øjeblikket er sættet af muligheder for Alien meget større end Xenomorphs. Men i betragtning af, at denne nye malware stadig er meget ung og vedtager et stærkt modulært design, er det ikke svært at forudsige nye funktioner, der kommer i den nærmeste fremtid.” sagde forskere.
En ThreatFabric-talsmand fortalte ZDNet, at de har markeret den ondsindede app til Google for at blive fjernet fra Play Butik. ZDNet kontaktede Google om den ondsindede app, og den blev fjernet kort efter.
“Sikkerhed og sikkerhed for brugere er vores topprioritet, og hvis vi opdager en app, der overtræder vores politikker, skrider vi til handling,” en Googles talsmand fortalte ZDNet.
MERE OM CYBERSIKKERHED
Denne nye Android-malware får fuld kontrol over din telefon for at stjæle adgangskoder og oplysningerAdgangskodestjælende Android-malware bruger luskede sikkerhedsadvarsler til at narre dig til at downloadeDenne Android-trojanske malware bruger falske apps til at inficere smartphones, stjæle bankoplysningerJoker-faktureringssvig malware fundet i Google Play ButikNy ormbar Android-malware udgør Netflix for at kapre WhatsApp-sessioner Security TV | Datastyring | CXO | Datacentre