Google a supprimé deux nouvelles applications malveillantes détectées sur le Play Store pour Android, l'une d'entre se fait passer pour une application de style de vie et ayant été surprise en train de distribuer le malware bancaire Xenomorph.

Xenomorph est un cheval de Troie qui vole les informations d'identification des applications bancaires sur les appareils des utilisateurs. Il est également capable d'intercepter les SMS et les notifications des utilisateurs, ce qui lui permet de voler des mots de passe à usage unique et des demandes d'authentification multifactorielle.

La société de cybersécurité a déclaré avoir également trouvé une application de suivi des dépenses qui présentait un comportement similaire, mais a noté qu'elle ne pouvait pas extraire l'URL utilisée pour récupérer l'artefact du malware.

Les deux apps malveillantes sont les suivantes :

• Todo : Gestionnaire de journée (com.todo.daymanager)
• 経費キーパー (com.setprice.expenses)

Les deux applications fonctionnent comme un Dropper, ce qui signifie que les applications elles-mêmes sont inoffensives et servent de conduit pour récupérer la charge utile réelle, qui, dans le cas de Todo, est hébergée sur GitHub.

Xenomorph, documenté pour la première fois par ThreatFabric au début du mois de février, est connu pour abuser des autorisations d'accessibilité d'Android afin de mener des attaques par superposition, dans lesquelles de faux écrans de connexion sont présentés au-dessus d'applications bancaires légitimes afin de voler les informations d'identification des victimes.

De plus, le malware exploite la description d'un canal Telegram pour décoder et construire le domaine de commande et de contrôle (C2) utilisé pour recevoir des commandes supplémentaires.

Ce développement fait suite à la découverte de quatre applications malveillantes sur Google Play, qui dirigeaient les victimes vers des sites Web malveillants dans le cadre d'une campagne d'adware et Information-Stealing Campaign. Google a déclaré qu'il avait banni le développeur.