Occhi aperti su Xenomorph, nuovo malware su Android che attacca queste 12 banche italiane

Ha fatto il suo debutto Xenomorph, un pericoloso virus informatico da cui dovremmo stare molto attenti. Potrebbe rappresentare una minaccia per tutti coloro che non hanno la minima idea si come respingerlo o individuarlo, ecco perché sembra che stia divnetando difficile da gestire. Ma quali sono le sue capacità?

Xenomorph è il nuovo malware rilevato su Google Play Store, e che attualmente è stato scaricato, senza volerlo, da oltre 50.000 dispositivi Android. Lo scopo di questo virus è semplice: sottrarre le informazioni bancarie prendendo di mira gli utenti della Spagna, del Portogallo, del Belgio e dell’Italia.

A scoprirlo sono stati gli esperti in sicurezza informatica di ThreatFabric, i quali hanno individuato alcune similitudini con un altro trojan bancario chiamato Alien, motivo per cui hanno deciso di battezzarlo Xenomorph. Da ciò, dunque, hanno dedotto che chiunque avesse creato il primo virus, si è dato da fare per programmare anche il secondo.

Gli obiettivi di Xenomorph

Il software circola nel Google Play Store tramite una applicazione che promette di migliorare le prestazioni del dispositivo, ossia Fast Cleaner, che conta 50.000 installazioni se non di più. La tecnica è abbastanza usata dato che, tutti noi, cerchiamo migliorie sempre diverse per potenziare la performance dello smartphone.

Ma in che modo agisce Xenomorph? A quanto pare recupera il payload del malware dopo essere stato installato, quindi l’applicazione risulta legittima e “pulita” al momento del download dallo store. ThreatFabric, però, afferma indica che Fast Cleaner sia progettata in una maniera sstuta: fa parte della famiglia di “dropper“, e che comprende una serie di applicazioni fasulle che si propongono come strumenti di gestione per Google Pay, Chrome o Bitcoin.

Il virus informatico, però, ha un chiaro punto debole, difatti è in fase di sviluppo ed è una minaccia che per quanto grande possa essere, è facilmente rilevabile. Come abbiamo già detto può sottrarre le informazioni bancarie ed è in grado di intercettarle dalle app degli istituti bancari come Intesa Sanpaolo Mobile, YouApp, Banca Sella, MyCartaBCC, BNL, Carige Mobile, Banca MPS, Bancaperta, UBI Banca, SCRIGNOapp, BancoPosta e Postepay.

È in grado di rilevare pure le notifiche, registrare i messaggi SMS o eseguire attacchi in overlay. Tutto questo al preciso  scopo di individuare e sottrarre sia le credenziali di accesso al proprio conto bancario, che le password temporanee che vengono utilizzate come secondo fattore di autenticazione per validare l’accesso al conto o l’esecuzione di bonifici in sostanza.

Ricordate che quando Xenomorph viene installato sul dispositivo, la prima cosa che fa è quella di occuparsi di recuperare l’elenco di tutti i pacchetti installati in modo tale da poter caricare gli opportuni overlay. Tale operazione viene effettuata richiedendo le autorizzazioni del servizio di accessibilità; così facendo ottiene i permessi necessari per il compimento delle sue azioni.