2min

Tags in dit artikel

, ,

Xenomorph is op 50.000 Android devices verspreid om inloggegevens te stelen en bankrekeningen te plunderen. Dat onthult securityorganisatie ThreatFabric in een analyse van de nieuwe malwarevorm.

ThreatFabric volgt Xenomorph op de voet. Vandaag onthulde de organisatie dat de trojan minstens 50.000 Android devices heeft geïnfecteerd. Aanvallers vermommen Xenomorph met legitieme apps op de Google Play Store. De meest succesvolle vermomming is ‘Fast Cleaner’, een Android app met 50.000 installaties. De app is inmiddels verwijderd, maar werd eerder aangeprezen als tool om smartphones te versnellen. In werkelijkheid downloadt de tool malware op de devices van gebruikers.

Xenomorph activeert nadat een gebruiker een legitieme app op een geïnfecteerd device opent. De malware opent een interface met hetzelfde uiterlijk als de legitieme app. Deze interface is nagemaakt. Ingevoerde gegevens, bijvoorbeeld wachtwoorden en gebruikersnamen, worden rechtstreeks naar een aanvaller verzonden.

Securityonderzoekers van ThreatFabric bewezen dat 56 Europese bankapps door Xenomorph zijn nagemaakt om gebruikers te misleiden. Zodra een gebruiker inloggegevens in de nagemaakte app invoert, kraakt een aanvaller de bankrekening. Naar schatting draait Xenomorph op grofweg 50.000 devices. Het aantal daadwerkelijke slachtoffers is onbekend.

De rol van Google

In 2020 stuitte ThreatFabric op Alien, een trojan met een vergelijkbare werking als Xenomorph. Vanwege de gelijkenissen vermoedt ThreatFabric dat de trojans door dezelfde auteur(s) zijn geschreven.

Google treft maatregelen om kwaadaardige apps buiten de deur te houden, maar aanvallers vinden omwegen. Xenomorph rolt pas uit nadat de vermomming, bijvoorbeeld ‘Fast Cleaner’, is geïnstalleerd. De code van de vermomming triggert geen alarmen, waardoor Google de app op de Play Store laat distribueren.

Tip: Maak cybersecurity niet het probleem van eindgebruikers