Xenomorph è il nuovo malware bancario su Android con 50 mila installazioni. Prese di mira le app di 12 banche italiane

Xenomorph è il nome di un nuovo malware che viene distribuito tramite Google Play Store ed è già stato scaricato su oltre 50 mila dispositivi Android. Lo scopo del malware è quello di sottrarre informazioni bancarie e prende di mira gli utenti di svariati istituti in Spagna, Portogallo, Belgio e in Italia.

L'analisi di Xenomorph è stata condotta dalla società di sicurezza informatica ThreatFabric, la quale ha individuato nel codice varie similitudini ad un altro trojan bancario denominato Alien (da qui l'idea di battezzarlo Xenomorph, quale citazione della celebre serie cinematografica). E' possibile quindi che la mano che ha creato Xenomorph sia la stessa di Alien e/o che il primo sia l'erede del secondo.

L'obiettivo dei trojan bancari è quello di sottrarre informazioni finanziarie sensibili, rilevare conti ed eseguire transazioni non autorizzate.

Xenomorph circola nel Google Play Store mediante un'applicazione che promettono di migliorare le prestazioni del dispositivo: si tratta  di "Fast Cleaner" che conta 50 mila installazioni. Si tratta di una tecnica piuttosto diffusa (sfuttata anche da Alien) poiché il pubblico in generale ha sempre un certo interesse verso le soluzioni che promettono di migliorare la reattività e la velocità dello smartphone.

Fast Cleaner recupera il payload del malware dopo essere stato installato, quindi l'applicazione risulta legittima e "pulita" al momento del download dallo store. ThreatFabric indica che Fast Cleaner fa parte della famiglia di "dropper" Gymdrop scoperta nel novembre dello scorso anno e che include app che si propongono come strumenti di gestione per Google Pay, Chrome o Bitcoin.

Xenomorph appare ancora in fase di sviluppo, ma rappresenta già una minaccia poiché è già in grado di eseguire funzionalità di sottrazione di informazioni, prendendo di mira tra l'altro almeno 56 differenti istituti bancari europei. Quanto agli istituti italiani, Xenomorph può intercettare le informazioni delle app Intesa Sanpaolo Mobile, YouApp, Banca Sella, MyCartaBCC, BNL, Carige Mobile, Banca MPS, Bancaperta, UBI Banca, SCRIGNOapp, BancoPosta e Postepay.

Tra le capacità di Xenomorph vi è l'intercettazione di notifiche, la registrazione di messaggi SMS, l'esecuzione di attacchi overlay, tutte allo scopo di individuare e sottrarre sia le credenziali di accesso al proprio conto bancario, sia le password temporanee che vengono utilizzate come secondo fattore di autenticazione per validare l'accesso al conto o l'esecuzione di bonifici.

Una volta che Xenomorph viene installato sul dispositivo, si occupa come prima cosa di recuperare l'elenco di tutti i pacchetti installati così da poter caricare gli opportuni overlay. Questa operazione viene effettuata richiedendo le autorizzazioni del servizio di accessibilità, abusando quindi dei permessi per concedersi ulteriori autorizzazioni aggiuntive a seconda delle necessità.

Secondo ThreatFabric attualmente la minaccia posta da Xenomorph è comunque limitata proprio per il suo stato ancora in fase di sviluppo. Si tratta però di una minaccia da non sottovalutare in quanto potrebbe rapidamente raggiungere il suo pieno potenziale, paragonabile a quello di altri sofisticati trojan bancari già esistenti su Android.