Xenomorph, troyano bancario para Android con presencia en México

Hace un año, en febrero de 2022, se pudo conocer un troyano bancario para dispositivos Android llamado Xenomorph, que ahora ha resurgido nuevamente, con más fuerza, haciéndose pasar por aplicaciones de servicios bancarios, en diferentes partes del mundo.

México se encuentra entre los países afectados, por lo que se recomienda a los usuarios tomar medidas como ser cautelosos con las aplicaciones que instalan desde Google Play, así como mantener la cantidad de aplicaciones que se ejecutan en sus teléfonos, al mínimo posible, y sólo instalar aplicaciones de proveedores conocidos y confiables.

También se hace un llamado a los usuarios para que puedan revisar las aplicaciones y servicios bancarios de las siguientes instituciones: BBVA México (Bancomer Móvil), BBVA Empresas México, HSBC México, Citibanamex Móvil, American Express México, ING México, Deutsche Bank Mobile México, Santander Móvil, así como billeteras de criptomonedas, como Binance y Coinbase, por mencionar algunas.

Xenomorph es un malware creado para dispositivos Android, el cual se ha distribuido desde la tienda oficial de Google Play y que, al día de hoy, tiene alrededor de 78,000 descargas e instalaciones.

En este sentido, Google ha tomado algunas medidas para reducir la cantidad de aplicaciones maliciosas en su tienda para dispositivos móviles, pero a menudo estos esfuerzos no son suficientes para evitar que los delincuentes lleguen a Google Play Store.

Xenomorph se hace pasar por una aplicación llamada «Fast Cleaner», la cual ofrece beneficios tales como acelerar el dispositivo eliminando los elementos no utilizados y permitiendo la optimización de la batería.

Fast Cleaner parecía cumplir su función, por lo que se reportaron alrededor de 78,000 descargas de esta aplicación, desde la tienda de aplicaciones de Google. Pero una vez dentro del dispositivo, puede tomar la forma de otras aplicaciones, entre ellas las de servicios bancarios, billeteras de criptomonedas o incluso, servicios de correo electrónico.  A la fecha se han encontrado capacidades en Xenomorph para suplantar las aplicaciones de más de 520 instituciones bancarias y financieras, incluidos varios servicios de criptomonedas.

Y aún cuando Xenomorph sigue en etapa de desarrollo, ha demostrado ser de alta peligrosidad, ya que incluye las características mínimas requeridas en un troyano bancario moderno, enfocado al sistema operativo Android. Su vector de ataque principal es el robo de credenciales, combinadas con el uso de mensajes SMS e intercepción de notificaciones para registrar y usar tokens de doble factor de autenticación.

De igual forma, su motor está diseñado con un enfoque modular en mente. Contiene módulos para cada acción específica requerida por el bot y puede extenderse fácilmente para respaldar más funcionalidades.

La capacidad de almacenamiento de Xenomorph es muy extensa, y puede enviar datos del registro de las teclas a sus operadores, además de recopilar datos del comportamiento de las víctimas y las aplicaciones instaladas.

Al igual que muchos otros troyanos de banca Android, este troyano depende en gran medida del mecanismo de ataque de superposición para engañar a sus víctimas en la revelación de información de identificación personal. Si el malware obtiene los privilegios de servicios de accesibilidad, que solicita insistentemente después de ejecutarse, se le otorgan automáticamente todos los permisos que requiere y luego se despliega y activa silenciosamente en el dispositivo. También tiene capacidades para robar cookies y para completar automáticamente las transacciones fraudulentas en dispositivos infectados, una técnica llamada Sistema de transferencia automatizado (ATS) que también le permite iniciar la aplicación y extraer los códigos de la autenticación de doble factor que utilice el usuario.

Con estas nuevas características, Xenomorph puede automatizar completamente toda la cadena de fraude, desde la infección hasta el robo de fondos, lo que lo convierte en uno de los troyanos de malware Android más avanzados y peligrosos de la actualidad.

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad.