Un malware capace di rubare portafogli di criptovalute attraverso le fotografie fa capolino sulla scena.
Con ben 3 miliardi di utenti attivi e il 70% di mercato, Android è senza dubbio il sistema operativo mobile più diffuso al mondo.
La sua versatilità, la semplicità di adozione da parte dei produttori di terze parti e la sua natura di software open source, lo rendono la principale scelta da parte della stragrande maggioranza degli utenti finali.
Tuttavia, la sua diffusione capillare è anche un’arma a doppio taglio, in quanto è diventato il bersaglio prediletto dei cybercriminali.
Questo ha portato alla nascita di un vero e proprio sottobosco di malware, trojan e ransomware mirati agli utenti Android.
Uno di questi è Xenomorph, un malware che tanto fa discutere di sé per via dell’approccio subdolo e violento che adotta per impossessarsi delle credenziali bancarie degli utenti presi di mira.
Ma come sempre andiamo con ordine e analizziamo l’argomento per gradi.
Le origini di Xenomorph
Xenomorph è apparso sulla scena malevola nel febbraio 2022, quando i ricercatori del gruppo ThreatFabric lo ha identificato.
Il nome non è stato scelto a caso, in quanto è un rimando al temibile Xenomorfo apparso nel film Alien di Ridley Scott del 1979.
Cos’hanno in comune il malware e l’alieno cinematografico? La difficoltà nel debellarlo e impedirne il ritorno.
Xenomorph appartiene alla categoria di malware bancario, ovvero un software malevolo progettato per setacciare il dispositivo su cui viene installato e individuare le credenziali di accesso bancarie dell’utente. Tuttavia, non è il primo caso del genere che viene analizzato, poiché esiste un suo predecessore chiamato Alien, con cui Xenomorph condivide classi e nomi di stringhe del codice sorgente.
Nonostante ciò, il malware è radicalmente diverso per quanto concerne le funzionalità.
In base ai dati ottenuti, si stima che Xenomorph sia stato in grado di violare gli account utente oltre 400 istituti bancari mondiali e che la sua prima distribuzione sia avvenuta di fatto sul Play Store, tramite finta applicazione.
Tra quelle identificate e successivamente rimosse da Google, vi era Fast Cleaner, che ha registrato oltre 50.000 download.
La tattica non è nuova, in quanto altri esponenti della scena hanno adottato tale tecnica di camuffamento, come accaduto con Vultur e lo stesso Alien.
In particolare, le applicazioni contenenti prima Alien e successivamente Xenomorph appartengono tutte alla famiglia di dropper Gymdrop, scoperta nel novembre 2021.
Questa è divenuta nota per essere riuscita a camuffarsi non solo da pulitori efficienti per Android, ma perfino da aggiornamenti fasulli del browser mobile Google Chrome e dei Google Play Services.
Tuttavia, una nuova variante di Xenomorph è emersa il 25 settembre 2023. Questa non solo ha potenziato i suoi moduli di attacco, rendendolo capace di prendere di mira un centinaio di istituti di credito statunitensi e portoghesi, ma anche di andare a caccia di portafogli di criptovalute Bitcoin, Ethereum, TRON, Binance e Coinbase. Oltre a ciò, è mutata anche la sua distribuzione, attuata attraverso campagne di phishing tramite e-mail e pagine web contraffatte.
Ciò rende Xenomorph un malware-as-a-service (MaaS), ponendolo nella stessa categoria di pericolosità di altri illustri esponenti del genere, come: Octo, Hydra, Hook e Anatsa.
Come funziona Xenomorph?
In base a quanto discusso nel paragrafo precedente, si evince che Xenomorph è un malware molto avanzato e pericoloso, poiché le sue tecniche di attacco spaziano da una semplice manipolazione di SMS, sino al controllo completo e incondizionato del dispositivo su cui è installato. Questo perché la terza generazione di Xenomorph è equipaggiata con un framework ATS (Automated Transfer System) che si attiva nel momento in cui l’incauto utente gli concede i privilegi amministrativi massimi.
Nel dettaglio sono riportate le principali capacità del malware:
- Monetizzazione
o Raccolta di informazioni del dispositivo
o Raccolta di SMS utente - Frode ATO
o Attacco con overlay
o Intercettazione di notifiche
o Intercettazione di SMS - Resilienza
o Prevenzione da disinstallazione
o Connessione a più server C&C
Una volta che Xenomorph viene scaricato e installato sul dispositivo, questo si connette al server C&C dei cybercriminali, da cui riceve degli overlay.
Questi rappresentano il principale veicolo con cui il malware si impossessa dei dati sensibili degli utenti, in quanto simulano funzionamento e apparenza delle vere schermate di login degli istituti di credito a cui l’utente è effettivamente registrato. Tali overlay sono criptati con un algoritmo specifico per Xenomorph, in combinazione ad AES.
Il framework ATS è anche estremamente flessibile, poiché capace di effettuare sequenze di azioni a catena, nel momento in cui determinati requisiti vengono soddisfatti. Questi sono raccolti in moduli e nella sua configurazione Xenomorph ne possiede un vasto set, principalmente mirati alla manipolazione delle impostazioni di sistema del dispositivo infettato.
Tra quelli maggiormente impiegati dal malware si citano:
- notificationAccess
- grantPermission
- disablePlayProtect
- restrictReset_Generic
- restrictUninstall_ByClassName
- restrictUninstall_Generic
- restrictAccessibilityDisable_Generic
- restrictSettingsClicks_Generic
- defaultSmsApp-Alert
- defaultSmsApp-Role-ChangePrevention
- grantWriteStoragePermissions
- grantSystemWritePermissions
- getGoogle2FA
A questi se ne aggiungono alcuni specifici che prendono di mira le varianti AOSP dell’interfaccia utente:
- come OneUI di Samsung
- MIUI di Xiaomi.
Questo perché tali interfacce proprietarie integrano un ordine preciso di operazioni da eseguire prima che una determinata azione si compia.
La scelta di colpire tali produttori non è nemmeno casuale, in quanto la loro combinazione rappresenta il 50% dell’intero mercato Android.
Ciascun modulo è salvato in JSON e ciò permette ai criminali di costruire blocco per blocco il flusso di un algoritmo decisionale, rendendo così il framework ATS in grado di effettuare controlli condizionali e cicli di istruzioni ben precisi.
Nel momento in cui entra in possesso delle credenziali utenti, Xenomorph è in grado di eseguire transazioni bancarie e finalizzare le operazioni di trasferimento fondi, anche se è attiva l’autenticazione a due fattori (2FA), in quanto la aggira mediante l’apposito modulo.
Secondo le analisi di ThreatFabric, le nazioni più colpite da Xenomorph sono:
- Spagna
- Turchia
- Polonia
- Stati Uniti d’America
- Australia
- Canada
- Italia
- Portogallo
- Francia
- Germania
- Emirati Arabi Uniti
- India
Come proteggersi da un’infezione di Xenomorph?
Alla luce di quanto discusso nei paragrafi precedenti, sono di seguito riportati alcuni consigli per proteggersi da applicazioni malevoli e possibili furti di credenziali.
Non affidarsi ad applicazioni di pulizia automatizzata esterni
I moderni smartphone e dispositivi Android escono di fabbrica con già installata una soluzione per la pulizia di file temporanei, cookie e junk di applicazioni. Questi solitamente permettono anche un’eliminazione definitiva di determinati file selezionati direttamente dall’utente.
Evitare antivirus gratuiti
Come al solito le soluzioni gratuite lasciano il tempo che trovano, in quanto incapaci di garantire una protezione costante ed efficace.
A maggior ragione se si pensa che, a partire da Android 11, ogni produttore di smartphone e tablet integra al suo interno un centro di sicurezza ad hoc con un antivirus che viene costantemente aggiornato e monitorato. La soluzione ideale è comunque quella di dotarsi di un antivirus di tipo premium con abbonamento annuale e che integri al suo interno moduli anti-phishing, monitoraggio rete e controllo approfondito delle applicazioni.
Mai installare file APK acquisiti da fonti dubbie
Si tratta di elementi non controllati direttamente dalla casa madre di Android, ma di pacchetti contenenti al loro interno del codice non firmato e quindi potenzialmente dannoso per il proprio dispositivo. Ad esempio, sono da evitare in toto i marketplace esterni come Aptoide, Uptodown o ApkPure, che più di una volta si sono dimostrati autentiche fucine di malware.
Restare costantemente aggiornati
Le liste di applicazioni segnalate come malevoli e pericolose vengono aggiornate su base giornaliera direttamente dai principali produttori di antivirus ed esperti del settore.
Affidarsi sempre alla reputazione del produttore
Controllare recensioni e media di punteggio che ciascuna sua applicazione riceve sia sul Play Store, che sui siti specializzati, è un ottimo metodo per evitare di scaricare qualcosa di indesiderato sul proprio dispositivo.
Effettuare una pulizia regolare
Almeno una volta a settimana è buona prassi disinstallare le applicazioni non utilizzate e svuotare la cache dei propri browser.
Conclusione
L’era digitale è l’equivalente di una piazza gremita di malintenzionati, pronti a stanarci nel momento in cui commettiamo un passo falso.
Xenomorph è l’ennesima dimostrazione di come a noi utenti sia richiesta la massima attenzione nel momento in cui usiamo il nostro dispositivo Android.
Poiché lo smartphone è ormai divenuto una parte integrante sia della nostra vita professionale, che privata, la nostra forza deve risiedere nella perfetta combinazione di vigilanza, aggiornamenti regolari e l’uso di applicazioni ufficialmente definite affidabili. Solo in questo modo potremo proteggere la nostra identità digitale e i nostri conti bancarie da chi vorrebbe impossessarsene.
Come sempre abbassare la guardia non è mai un’opzione da considerare.
- Autore articolo
- Gli ultimi articoli
Classe 1993, laureato in Informatica e Comunicazione Digitale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.