Троян Xenomorph скрывался в приложении, выдававшим себя за обычный инструмент для планирования.
https://www.securitylab.ru/upload/ib...ei8sc10wx.jpeg
Google удалила из Play Store два новых вредоносных приложения-дроппера, одно из которых выдавало себя за обычный инструмент для планирования и было замечено в распространении вредоноса под названием Xenomorph.
Согласно информации из отчета исследователей Zscaler ThreatLabz, Xenomorph – это троян, который крадет учетные данные из банковских приложений на устройствах жертв. Кроме того он способен перехватывать SMS-сообщения и уведомления на устройствах пользователей, что позволяет ему красть красть одноразовые коды аутентификации.
ИБ-специалисты Zscaler заявили, что второе приложение ведет себя похожим образом, но им не удалось определить URL-адрес, использованный злоумышленниками для доставки полезной нагрузки вредоноса.
В отчете были приведены названия вредоносных приложений:<ul><li>Todo: Day manager (com.todo.daymanager)</li>
</ul><ul><li>経費キーパー (com.setprice.expenses)</li>
</ul>Оба приложения – дропперы, т.е. используются злоумышленниками для получения полезной нагрузки, размещенной на GitHub.
Стоит отметить, что Xenomorph был впервые обнаружен специалистами компании ThreatFabric в феврале этого года. Его визитной карточкой является использование разрешений Android-приложений для проведения оверлейных атак. Более того, троян использует описание Telegram-канала для декодирования и создания C&amp;C-домена, с помощью которого злоумышленники отправляют дополнительные команды на устройства жертв.