通过谷歌Play Store传播的新安卓银行特洛伊木马针对欧洲人

据观察，一个新的安卓银行特洛伊木马通过官方的Google Play商店发布，安装超过50000个，目标是针对56家欧洲银行，并从受损设备中获取敏感信息。

被荷兰安全公司ThreatFabric称为Xenomorph的正在开发的恶意软件据说与另一个名为Alien的银行特洛伊木马有重叠，同时在提供的功能方面也与它的前身“截然不同”。

ThreatFabric的创始人兼首席执行官韩沙欣（Han Sahin）说：“尽管Xenomorph是一项正在进行的工作，但它已经展示了有效的覆盖层，并在官方应用商店中积极发行。”。“此外，它还具有一个非常详细和模块化的引擎，可以滥用无障碍服务，这在未来可能会提供非常先进的功能，如ATS。”

Alien是一种远程访问特洛伊木马（RAT），具有通知嗅探和基于身份验证的2FA盗窃功能，在臭名昭著的Cerberus恶意软件于2020年8月消亡后不久出现。从那时起，其他的猎犬叉在野外被发现，包括2021年9月的EMAC。

Xenomorph与Alien和ERMAC一样，是安卓银行特洛伊木马的又一个例子。安卓银行特洛伊木马的重点是绕过谷歌Play Store的安全保护，伪装成“Fast Cleaner”等高效应用程序，诱骗不知情的受害者安装恶意软件。

值得注意的是，一款安装超过10000个的健身训练滴管应用程序—；被称为GymDrop—；去年11月被发现通过将其伪装成“新的锻炼套餐”来交付Alien banking特洛伊木马有效载荷

Fast Cleaner, which has the package name "vizeeva.fast.cleaner" and continues to available on the app store, has been most popular in Portugal and Spain, data from mobile app market intelligence firm Sensor Tower reveals, with the app making its first appearance in the Play Store towards the end of January 2022.

此外，用户对该应用的评论警告称，“该应用有恶意软件”，并“要求持续确认更新”另一位用户说：“它会在设备上安装恶意软件，除此之外，它还有一个自我保护系统，因此您无法卸载它。”

Xenomorph还使用了一种久经考验的策略，即提示受害者授予其可访问性服务权限，并滥用权限进行覆盖攻击，其中恶意软件将恶意覆盖屏幕注入西班牙、葡萄牙、意大利和比利时的目标应用上，以窃取凭据和其他个人信息。

此外，它还配备了通知拦截功能，可以提取通过SMS接收的双因素身份验证令牌，并获取已安装应用程序的列表，其结果将过滤到远程命令和控制服务器。

研究人员说：“Xenomorph的出现再次表明，威胁参与者正将注意力集中在将应用程序投放到官方市场上。”。“现代银行恶意软件正在以非常快的速度发展，犯罪分子开始采用更精细的开发实践来支持未来的更新。”