La mayoría de usuarios consideran Google Play Store una fuente fiable de donde descargar aplicaciones, pero recientemente el equipo de Zscaler ThreatLabz descubrió un troyano bancario Xenomorph incrustado en dos aplicaciones en la tienda Google Play Store, «To do: Day Manager» y «Expense Keeper«.
Xenomorph es un troyano que roba credenciales de aplicaciones bancarias. También es capaz de interceptar los mensajes y SMS de los dispositivos infectados, lo que le permite interceptar los códigos de autenticación multifactor (2FA), y las contraseñas únicas.
Este malware fue detectado por primera vez en Febrero de 2022:
El malware ha recibido el nombre de Xenomorph por su similitud en el código a otro troyano bancario conocido como Alien. Sin embargo, a pesar de sus vínculos obvios con uno de los malware más extendidos de los últimos dos años, Xenomorph es radicalmente diferente de Alien en funcionalidades.
En el último análisis del equipo de Zscaler ThreatLabz han determinado que Xenomorph actúa de la siguiente forma:
El usuario descarga al aplicación de Google Play Store.
La primera vez que el usuario ejecuta la apk, ésta pide a los usuarios que habiliten el Permiso de acceso y se agrega a sí misma como Device Admin, lo que imposibilita la desinstalación de la aplicación desde el dispositivo.
En ésta primera ejecución, además, el programa contacta con un servidor de Firebase desde donde obtiene la URL de descarga del malware, él cuál está alojado en Github. Lo descarga y se instala en segundo plano.
El troyano contacta con los servidores C2 decodificándolos vía Telegram page content o a través de un código estático, extendiendo así la infección.
Ambas aplicaciones, «To do: Day Manager» y «Expense Keeper«, cuentan con más de 1.000 descargas, aunque a día de hoy Google ya las ha eliminado de Google Play Store.
Concluyendo recomendamos a todos los usuarios verificar la legitimidad de las aplicaciones antes de descargarlas, aunque Google elimina las apk maliciosas de Google Play Store, a menudo permanecen aplicaciones de terceros que pueden ser maliciosas. También es recomendable evitar brindar permisos innecesarios a las apps, leer reseñas y las políticas de privacidad.
Más información:
https://www.zscaler.com/blogs/security-research/rise-banking-trojan-dropper-google-play-0
https://thehackernews.com/2022/11/these-two-google-play-store-apps.html
La entrada Troyano bancario que se distribuye en Google Play Store; Xenomorph se publicó primero en Una al Día.
