Industry Wire

Geplaatst door Zscaler

Opkomst van een bank-trojan-dropper in Google Play ontdekt door Zscaler

Amsterdam, 30 november 2022 – Het Zscaler ThreatLabz-team heeft onlangs de Xenomorph-banktrojan ontdekt in een lifestyle-app in de Google Play Store. Het betreft de app ‘Todo: Day manager’ die al meer dan 1.000 downloads heeft. Dit is de nieuwste bevinding in een verontrustende reeks verborgen malware in de Google Play Store. In de afgelopen 3 maanden heeft het ThreatLabz-team meer dan 50 apps gerapporteerd die al hebben geleid tot meer dan 500.000 downloads, waarbij malware-families als Joker, Harly, Coper en Adfraud embedded waren.

Xenomorph is een trojan die inloggegevens steelt van bankapplicaties op de apparaten van gebruikers. Het is ook in staat om sms-berichten en meldingen van gebruikers te onderscheppen, waardoor het eenmalige wachtwoorden en multifactor-authenticatieverzoeken kan stelen.

Uit Zscaler’s analyse blijkt dat de Xenomorph-bankmalware bij installatie van de app van GitHub wordt verwijderd als neppe Google Service-applicatie. Het begint met het vragen aan gebruikers om toegangsrechten in te schakelen. Eenmaal verstrekt, voegt het zichzelf toe als apparaatbeheerder en voorkomt het dat gebruikers Apparaatbeheer uitschakelen, waardoor het niet van de telefoon kan worden verwijderd. Xenomorph creëert een overlay op legitieme bankapplicaties om gebruikers te misleiden hun inloggegevens in te voeren.

Een vergelijkbare infectiecyclus werd drie maanden geleden waargenomen met de Coper-banktrojan. Deze trojan was op dezelfde manier geïntegreerd in apps in de Google Play Store en haalde zijn malware-payload uit de Github-repo.

Hieronder kun je zien hoe de Xenomorph-infectiecyclus verloopt zodra een gebruiker een app downloadt en opent.

Conclusie
Bij Zscaler worden dergelijke applicaties proactief gedetecteerd en gemonitord om klanten te beveiligen. Deze bank-phishing-installatieprogramma’s misleiden gebruikers om kwaadaardige applicaties te installeren. Gebruikers wordt geadviseerd om in de gaten te houden welke applicatie wordt geïnstalleerd. Het is niet de bedoeling dat een Play Store-applicatie zijwaarts laadt of gebruikers vraagt ​​om te installeren vanuit onbekende bronnen. Zscaler denkt dat vijandige phishing-downloaders in de toekomst verder zullen toenemen. Waakzaamheid van gebruikers is van het grootste belang om deze phishing-campagnes te verslaan.

Bezoek de website voor een volledige technische analyse van de bank-trojan-dropper in Google Play: https://www.zscaler.com/blogs/security-research/rise-banking-trojan-dropper-google-play-0

Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. De Zscaler Zero Trust Exchange beschermt duizenden klanten van cyberaanvallen en dataverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verveeld over meer dan 150 datacenters wereldwijd is de op SSE-gebaseerde Zero Trust Exchange het grootste inline cloud security-platform ter wereld.

Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.

Deel dit bericht