Xenomorph es un virus de la familia de los troyanos detectado por primera vez en febrero de 2022. En su primera versión dirigió ataques a 56 bancos europeos caracterizado por el abuso de los permisos de los servicios de accesibilidad y la inyección para ataques de superposición. Todo ello con el objetivo de interceptar las notificaciones para robar códigos de un solo uso.
Los ciberdelincuentes no desisten en sus esfuerzos
Desde entonces sus desarrolladores «Hadoken Security» han seguido lanzando nuevas versiones que añaden importantes capacidades para llevar a cabo ataques maliciosos. En su última versión incluyen un nuevo marco de sistema de transferencia automatizada (ATS), además de brindar la posibilidad de robar credenciales de hasta 400 bancos.
En su primera versión acumuló más de 50.000 descargas, sin embargo, las siguientes versiones nunca se distribuyeron en grandes volúmenes. Xenomorph v2 lanzada en junio de 2022 tuvo breves periodos de actividad de prueba en la naturaleza. Xenomorph v3 presentó una completa revisión del código que la hizo más flexible y modular por lo que es mucho más capaz y madura que versiones anteriores.
Es por esto que es capaz de robar datos automáticamente, saldos de cuentas, credenciales, finalizar transferencias de fondos y realizar transacciones bancarias. Los especialistas creen que sus desarrolladores planean vender Xenomorph a los operadores a través de una plataforma maliciosa como servicio. El lanzamiento de un sitio web promocionando esta versión ds fuerza a la hipótesis.
¿Cómo funciona Xenomorph?
La nueva versión de Xenomorph tiene como objetivo 400 bancos principalmente de países como España, Estados Unidos, Polonia, Turquía, Italia, Australia, Portugal, Canadá, Francia, Emiratos Árabes Unidos, Alemania y la India. El virus ya ha atacado a instituciones como ING, HSBC, Deutsche Bank, Wells Fargo, Chase, Citibank, American Express Amex, National Bank of Canada, Citi, BNP, UniCredit, BBVA, Santander y Caixa.
Lo más peligroso de la nueva versión de Xenomorph es que permite a los ciberdelincuentes gracias a su marco ATS extraer credenciales automáticamente, realizar transacciones, comprobar saldos de cuentas y robar dinero de las aplicaciones objetivos sin realizar acciones remotas.
La nueva versión incluye el robo de cookies del CookieManager de Android. Esta herramienta lanza una ventana de navegador que engaña a las víctimas para que introduzcan sus datos de acceso, nombres de usuarios y contraseñas. Así podrán secuestrar las secciones web de las víctimas y hacerse con el control de sus cuentas.