Trojan này được công ty bảo mật ThreatFabric của Hà Lan đặt tên là Xenomorph. Phần mềm độc hại đang trong quá trình phát triển được cho là chồng chéo với một trojan ngân hàng khác có tên là Alien với chức năng "hoàn toàn khác" so với bản trước đó của nó.
Han Sahin, CEO của ThreatFabric cho biết: "Mặc dù đang trong quá trình hoàn thiện nhưng Xenomorph đã thực sự "hiệu quả" và đang được phân phối tích cực trên các cửa hàng ứng dụng chính thức. Ngoài ra, các tính năng của nó rất tinh vi và được thiết kế mô-đun rất chi tiết để lợi dụng các dịch vụ mà chúng có thể truy nhập và có thể hỗ trợ các khả năng rất tiên tiến trong tương lai như chuyển nguồn tự động (ATS)."
Alien, một trojan truy cập từ xa (RAT), với các tính năng đánh cắp thông báo và đánh cắp 2FA dựa trên trình xác thực. Chúng xuất hiện ngay sau sự sụp đổ của phần mềm độc hại khét tiếng Cerberus vào tháng 8/2020. Kể từ đó, các nhánh khác của Cerberus đã được phát hiện, bao gồm cả ERMAC vào tháng 9/2021.
Cũng giống như Alien và ERMAC, Xenomorph là một trojan ngân hàng trên Android, tập trung vào việc phá vỡ các biện pháp bảo mật của cửa hàng Google Play bằng cách giả mạo các ứng dụng được sử dụng nhiều như "Fast Cleaner" để lừa các nạn nhân cài đặt phần mềm độc hại.
Điều đáng chú ý là một ứng dụng Dropper (phần mềm độc hại được phát triển bằng cách cài đặt) về luyện tập thể chất với hơn 10.000 lượt cài đặt, có tên là GymDrop đã được phát hiện phát tán tải trojan ngân hàng Alien vào tháng 11/2021 bằng cách ngụy trang là "gói bài luyện tập mới".
Fast Cleaner, có tên gói là "vizeeva.fast.cleaner" và vẫn đang có sẵn trên cửa hàng ứng dụng, đã trở nên phổ biến nhất ở Bồ Đào Nha và Tây Ban Nha. Theo dữ liệu từ công ty tình báo thị trường ứng dụng di động Sensor Tower tiết lộ thì ứng dụng lần đầu tiên xuất hiện trên Play Store vào cuối tháng 1/2022.
Hơn nữa, các bài đánh giá cho ứng dụng từ người dùng đã cảnh báo rằng "ứng dụng này có phần mềm độc hại và nó "yêu cầu xác nhận cập nhật liên tục". Một người dùng khác cho biết: "Nó đưa phần mềm độc hại vào thiết bị và còn có hệ thống tự bảo vệ để bạn không thể gỡ cài đặt nó."
Xenomorph còn sử dụng thủ đoạn kiểm thử thời gian để nhắc các nạn nhân cấp cho chúng những đặc quyền của dịch vụ trợ năng (Accessibility Service) và lạm dụng các quyền để thực hiện những tấn công bề mặt, trong đó phần mềm độc hại cấy các màn hình đăng nhập giả mạo lên các ứng dụng được nhắm mục tiêu từ Tây Ban Nha, Bồ Đào Nha, Ý và Bỉ để trích xuất thông tin xác thực và thông tin cá nhân khác.
Ngoài ra, nó được trang bị tính năng chặn thông báo để trích xuất mã thông báo xác thực hai yếu tố nhận được qua SMS và nhận danh sách các ứng dụng đã cài đặt. Những kết quả mà chúng có được sẽ chuyển sang máy chủ điều khiển và chỉ huy từ xa.
Các nhà nghiên cứu cho biết: "Sự xuất hiện của Xenomorph một lần nữa cho thấy rằng các tác nhân đe dọa đang tập trung sự chú ý vào các ứng dụng chính thống đang có trên thị trường. Phần mềm độc hại ngân hàng hiện đại đang phát triển với tốc độ rất nhanh và bọn tội phạm đang bắt đầu áp dụng các phương pháp phát triển tinh vi hơn để hỗ trợ các bản cập nhật trong tương lai"./.
