通过官方Google Play商店分发了一个新的Android银行木马，安装量超过50，000个，目标是针对56家欧洲银行，并从受感染的设备中收集敏感信息。

被荷兰安全公司ThreatFabric称为Xenomorph，据说开发中的恶意软件与另一个以Alien绰号跟踪的银行木马有重叠，同时在提供的功能方面也与其前身"截然不同"。

"尽管是一项正在进行的工作，但Xenomorph已经在进行有效的叠加，并在官方应用商店中积极分发，"ThreatFabric的创始人兼首席执行官Han Sahin说。"此外，它具有非常详细的模块化引擎来滥用可访问性服务，将来可能会为非常先进的功能提供支持，例如ATS。

Alien是一种具有通知嗅探和基于身份验证器的2FA盗窃功能的远程访问木马（RAT），在2020年8月臭名昭着的Cerberus恶意软件消亡后不久就出现了。从那时起，在野外发现了Cerberus的其他分叉，包括2021年9月的ERMAC。

Xenomorph与Alien和ERMAC一样，是Android银行木马的另一个例子，该木马专注于通过伪装成"Fast Cleaner"等生产力应用程序来规避Google Play Store的安全保护，以诱骗不知情的受害者安装恶意软件。

安卓银行木马
值得注意的是，一个拥有超过10，000个安装的健身训练应用程序- 称为GymDrop - 被发现在11月通过将其伪装成"新的锻炼练习包"来提供Alien银行木马有效载荷。

来自移动应用程序市场情报公司Sensor Tower的数据显示，快速清洁器的软件包名称为"vizeeva.fast.cleaner"，并继续在应用程序商店中提供，在葡萄牙和西班牙最受欢迎，该应用程序将于2022年1月底在Play商店中首次亮相。

更重要的是，用户对该应用程序的评论带有警告，称"此应用程序具有恶意软件"，并且"要求不断确认更新"。另一位用户说："它将恶意软件放在设备上，除此之外，它还具有自我保护系统，因此您无法卸载它。

Xenomorph还使用了经过时间考验的策略，即提示受害者授予其可访问性服务权限并滥用权限进行覆盖攻击，其中恶意软件在来自西班牙，葡萄牙，意大利和比利时的目标应用程序上注入流氓登录屏幕以虹吸凭据和其他个人信息。

此外，它还配备了通知拦截功能，可以提取通过SMS接收的双因素身份验证令牌，并获取已安装应用程序的列表，其结果将泄露到远程命令和控制服务器。

"Xenomorph的出现再次表明，威胁行为者正在将注意力集中在官方市场上登陆应用程序上，"研究人员说。"现代银行恶意软件正在以非常快的速度发展，犯罪分子开始采用更精细的开发实践来支持未来的更新。