Un malware Android que vous devriez supprimer rapidement : Xenomorph cracke automatiquement votre compte bancaire et vole votre argent.

Une troisième version du malware Android Xenomorph, découverte il y a plus d’un an, est maintenant apparue et est tout à fait apte à retirer efficacement votre argent de votre compte bancaire. Il cible les applications d’environ 400 banques et contourne même l’authentification multifacteur active (MFA). Et tout cela sans intervention active de l’attaquant.

Xenomorph : un cheval de Troie bancaire évolue

Découvert pour la première fois en février 2022, le malware Android Xenomorph est récemment apparu dans une nouvelle version qu’il vaut certainement la peine de supprimer au plus vite en cas d’infection. Même alors, le logiciel malveillant a pu accéder aux comptes de 56 banques européennes.

Cependant, les créateurs criminels ont continué à faire évoluer leurs logiciels malveillants ciblant les smartphones Android. Une deuxième version a suivi en juin 2022, qui était plus modulaire et flexible que son prédécesseur avec une base de code révisée.

Cependant, selon un rapport de BleepingComputer, la troisième version du cheval de Troie bancaire qui vient d’être découverte par les chercheurs en sécurité de ThreatFabric est bien plus puissante et mature. Non seulement il vole automatiquement les données d’accès et les soldes des comptes, mais il effectue aussi parfois des virements bancaires.

Attaque automatisée sur les appareils Android, y compris le contournement MFA

Grâce à de nouvelles fonctionnalités, Xenomorph v3 « est désormais capable d’automatiser l’intégralité de la chaîne de fraude, de l’infection au transfert d’argent, ce qui en fait l’un des chevaux de Troie malveillants Android les plus avancés et les plus dangereux en circulation« , ont déclaré les chercheurs dans leur rapport.

Un nouveau framework ATS (Automated Transfer System) permet à l’attaquant d’automatiser les actions à effectuer à l’aide d’un script JSON. En conséquence, le malware Xenomorph effectue de nombreuses opérations par lui-même sans que le cybercriminel n’ait besoin d’intervenir à distance dans le processus d’attaque sur l’appareil Android infiltré.

En enregistrant le contenu des applications d’authentification courantes, le cheval de Troie bancaire est même capable de contourner la protection MFA active. Xenomorph sait également comment prendre en charge les sessions Web existantes de la victime avec un voleur de cookies intégré.

Le malware Xenomorph cible les applications Android d’environ 400 banques

De plus, la nouvelle variante a désormais bien plus de cibles en vue. Environ 400 banques de diverses régions du monde – dont l’Allemagne, la France, l’Italie, le Canada et les États-Unis – sont au centre du malware Xenomorph. Cela inclut également les institutions financières actives en Allemagne, telles que Deutsche Bank, ING ou Citibank.

Et le malware ne s’arrête pas aux applications crypto populaires de Binance, BitPay, KuCoin, Gemini ou Coinbase. Pour une liste complète des cibles, consultez le rapport des chercheurs de ThreatFabric.

Grâce à la plateforme Zombinder, le logiciel malveillant a déjà fait son chemin vers le Google Play Store. Selon les chercheurs en sécurité, il est lié à un convertisseur de devises là-bas. Après l’installation, il se charge en tant que « mises à jour » le réel comme « Google Protect” dissimulait un malware Android.

Xenomorph est définitivement un malware que vous souhaitez supprimer au plus vite de votre smartphone Android en cas d’infection. Si vous voulez savoir quelles mesures vous pouvez prendre pour vous protéger contre ces logiciels malveillants, jetez un œil ici.