Det store cybersikkerhetsselskapet Check Point Research publiserer hver måned en oversikt over de største truslene selskapet har registrert, både på PC-plattformen og de mobile plattformene.
Nylig la Check Point ut den seneste rapporten, som inkluderer Norge, og denne gangen viser det seg at en destruktiv Android-skadevare befinner seg på toppen av trussellisten.
Skummel banktrojaner
Ifølge sikkerhetsselskapet er det «Xenomorph» som var mest utbredt i Norge i oktober, med en spredningsprosent på én prosent. Dette er relativt høyt, med tanke på at skadevaren kun har en spredningsprosent på 0,25 prosent globalt.
_logo.svg.png){kind=logo}
Xenomorph er en banktrojaner rettet mot Android-plattformen som er blitt omtalt av flere sikkerhetsselskaper den siste tiden. Digi.no skrev om programvaren senest i mars i år, da det nederlandske sikkerhetsselskapet Threatfabric publiserte en grundig gjennomgang.
Den nye utgaven av Xenomorph skal være mer potent og farligere enn tidligere utgaver av skadevarefamilien. Programvaren brukes til å stjele bankdata og andre sensitive, finansielle data. Den har en lang rekke egenskaper, deriblant «overlay»-funksjonalitet, hvor ofrene lures til å gi fra seg data via falske vinduer fra tilsynelatende legitime institusjoner, som nettopp banker.
Den har også «keylogging»-egenskaper og kan avskjære SMS-meldinger og varslinger for å registrere og bruke data relatert til totrinnsverifisering. Tyveri av informasjonskapsler (cookies) er en annen egenskap skadevaren skilter med.
Nordea blant ofrene
Da Threatfabric først meldte om skadevaren, rettet den seg mot kundene hos til sammen 56 europeiske banker, men med denne nye varianten har antallet banker økt til hele 400 banker – i tillegg til et antall kryptovaluta-lommebøker. Selskapet la ved en liste over bankene, og på listen finner man blant annet den danske utgaven av mobilappen til den store, nordiske banken Nordea.
Den nye varianten av skadevaren har også implementert et omfattende ATS-rammeverk (automated transfer system) ved hjelp av Androids tilgjengelighetstjenester (Accessibility Services).
– Med disse nye egenskapene er Xenomorph nå i stand til fullstendig å automatisere hele svindelkjeden, fra infeksjon til eksfiltrering av midler, som gjør den til en av de mest avanserte og farlige Android-trojanerne i sirkulasjon, skrev Threatfabric den gang.
Selskapet omtalte programvaren igjen i slutten av september i år, da den ble brukt i angrep mot 30 amerikanske banker.
Distribuert på Google Play
Den benytter flere ulike distribusjonsteknikker for å spre seg, deriblant en tjeneste som heter Zombinder. Dette er en tjeneste tilgjengelig på det mørke nettet som gjør det mulig å «binde» ondsinnet programvare til legitime Android-applikasjoner for å lure ofre til å laste den ned.
Bakmennene bruker også Discord CDN (Content Delivery Network) til å spre Xenomorph, i likhet med mye annen skadevare. I den tidlige fasen ble mange av appene infisert med Xenomorph distribuert på Google Play Store.
Av øvrige funn i den seneste Check Point-rapporten er at Formbook, også kalt Xloader (krever abonnement), ligger på toppen globalt med 3 prosents spredningsgrad, men kun 0,57 prosent i Norge.
Android-skadevare kan ta opp samtalene dine og stjele sensitive data – vanskelig å slette fra mobilen
