Malware został namierzony kilka tygodni temu przez informatyków pracujących w firmie ThreatFabric. Nadali oni mu nazwę Xenomorph i twierdzą, że jego ofiarą padli klienci ponad 50 banków europejskich. Złośliwe oprogramowanie kradnie ze smartfonów i tabletów nazwy użytkowników i hasła zapewniające im dostęp do kont bankowych.

Jedną ze zidentyfikowanych aplikacji, w której znajdował się malware, był program używany do optymalizowania pracy urządzenia. Aplikacja wydawała się realizować powierzone jej zadanie, ale zawierała również szkodliwy kod wchodzący do akcji wtedy, gdy użytkownik próbuje się logować do jakiegoś bankowe konta. Oczom użytkownika ukazuje się wtedy opracowana przez hakerów nakładka, która udaje prawdziwy interfejs wyświetlany przez bankowy serwer. Wpisywane przez użytkownika poufne informacje trafiają wtedy nie do bankowego serwera, ale do spreparowanego przez hakerów ad hoc serwera gromadzącego takie dane.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom

Jakby tego było mało, malware preparuje równie nakładki, które kradną poufne dane zapewniające dostęp do poczty oraz portfeli zawierających kryptowaluty. Złośliwe oprogramowanie może również przechwytywać powiadomienia SMS i aplikacje, dzięki czemu może również przeprowadzać ataki na systemy bezpieczeństwa bazujące na uwierzytelnianiu wieloskładnikowym.

Firma ThreatFabric powiązała zagrożenie Xenomorph z innym androidowym trojanem noszącym nazwę Alien. Te dwie formy złośliwego oprogramowania wykorzystują identyczne techniki atakowania urządzeń. Badacze zauważają, że złośliwe oprogramowanie nadal wydaje się być na wczesnym etapie rozwoju, ponieważ wiele poleceń zawartych w kodzie nie jest jeszcze aktywnych.

Rzecznik ThreatFabric poinformował już firmę Google o wykrytym zagrożeniu, która natychmiast usunęła ze sklepu Play Store wszystkie niebezpieczne aplikacje.