Seguridad

Cómo es el nuevo y peligroso virus Alien que ataca y vacía cuentas bancarias: ya le pegó a 400 bancos

Se descubrió una nueva versión de un peligroso virus bancarios. Ya atacó a más de 400 bancos.

Investigadores en seguridad encontraron que el malware para Android Xenomorph lanzó una nueva versión que añade importantes capacidades para llevar a cabo ataques maliciosos, incluyendo un nuevo marco de sistema de transferencia automatizada (ATS) y la posibilidad de robar credenciales de 400 bancos

Xenomorph fue detectado por primera vez por la empresa ThreatFabric en febrero de 2022, que descubrió la primera versión del troyano bancario en la tienda Google Play, donde acumuló más de 50.000 descargas. Esa primera versión se dirigió a 56 bancos europeos utilizando inyecciones para ataques de superposición y abusó de los permisos de los Servicios de Accesibilidad para realizar la interceptación de notificaciones con el fin de robar códigos de un solo uso. 

Sus autores, "Hadoken Security", continuaron desarrollando el malware a lo largo de 2022, pero sus nuevas versiones nunca se distribuyeron en grandes volúmenes. En cambio, Xenomorph v2, que se lanzó en junio de 2022, sólo tuvo breves periodos de actividad de prueba en la naturaleza. Sin embargo, la segunda versión destacó por su completa revisión del código, que lo hizo más modular y flexible. Xenomorph v3 es mucho más capaz y maduro que las versiones anteriores, capaz de robar datos automáticamente, incluidas credenciales, saldos de cuentas, realizar transacciones bancarias y finalizar transferencias de fondos.

ThreatFabric informa de que es probable que Hadoken planee vender Xenomorph a los operadores a través de una plataforma MaaS (malware como servicio), y el lanzamiento de un sitio web promocionando la nueva versión del malware refuerza esta hipótesis.

Cómo funciona el virus bancario

La última versión de Xenomorph tiene como objetivo 400 instituciones financieras, principalmente de Estados Unidos, España, Turquía, Polonia, Australia, Canadá, Italia, Portugal, Francia, Alemania, Emiratos Árabes Unidos e India. El virus ya atacó a instituciones como Chase, Citibank, American Express, ING, HSBC, Deutsche Bank, Wells Fargo, Amex, Citi, BNP, UniCredit, National Bank of Canada, BBVA, Santander y Caixa.

Lo más peligroso del nuevo malware es su marco ATS, que permite a los ciberdelincuentes extraer credenciales automáticamente, comprobar saldos de cuentas, realizar transacciones y robar dinero de las aplicaciones objetivo sin realizar acciones remotas.

Adicionalmente, el nuevo virus Xenomorph incluye el robo de cookies (pequeñas piezas de información) del CookieManager de Android, que contiene información de sesión del usuario. Esta tecnología lanza una ventana del navegador con la URL de un servicio legítimo con la interfaz JavaScript activada, engañando a la víctima para que introduzca sus datos de acceso (nombres de usuario y contraseñas). Los actores de la amenaza roban la cookie, lo que permite secuestrar las sesiones web de la víctima y hacerse con el control de sus cuentas.

Temas relacionados
Más noticias de seguridad informática

Compartí tus comentarios

¿Querés dejar tu opinión? Registrate para comentar este artículo.