Google поджарила ксеноморфа, пожирающего банковские данные пользователей Play Store

Google удалила из Play Store два новых вредоносных приложения-дроппера, одно из которых выдавало себя за обычный инструмент для планирования и было замечено в распространении вредоноса под названием Xenomorph.

Согласно информации из отчета исследователей Zscaler ThreatLabz, Xenomorph – это троян, который крадет учетные данные из банковских приложений на устройствах жертв. Кроме того он способен перехватывать SMS-сообщения и уведомления на устройствах пользователей, что позволяет ему красть красть одноразовые коды аутентификации.

ИБ-специалисты Zscaler заявили, что второе приложение ведет себя похожим образом, но им не удалось определить URL-адрес, использованный злоумышленниками для доставки полезной нагрузки вредоноса.

В отчете были приведены названия вредоносных приложений:

• Todo: Day manager (com.todo.daymanager)

• 経費キーパー (com.setprice.expenses)

Оба приложения – дропперы, т.е. используются злоумышленниками для получения полезной нагрузки, размещенной на GitHub.

Стоит отметить, что Xenomorph был впервые обнаружен специалистами компании ThreatFabric в феврале этого года. Его визитной карточкой является использование разрешений Android-приложений для проведения оверлейных атак. Более того, троян использует описание Telegram-канала для декодирования и создания C&C-домена, с помощью которого злоумышленники отправляют дополнительные команды на устройства жертв.