ThreatFabricは9月25日(現地時間)、「Xenomorph Malware Strikes Again: Over 30+ US Banks Now Targeted」において、「Xenomorph」と呼ばれるマルウェアの最新版を発見したと報じた。最近の米国への攻撃では30以上の銀行が直接の標的となっているとされる。

  • Xenomorph Malware Strikes Again: Over 30+ US Banks Now Targeted

    Xenomorph Malware Strikes Again: Over 30+ US Banks Now Targeted

Xenomorphは2022年2月にThreatFabricによって特定されたマルウェアで、画面オーバレイフィッシングを使用するバンキング型のトロイの木馬とされる。今回ThreatFabricは2023年8月にXenomorphの新しいサンプルを発見し、これを分析して報告した(参考:「Android狙うトロイの木馬「Xenomorph」、GooglePlayストアから拡散 | TECH+(テックプラス)」)。

ThreatFabricの調査から、新しいXenomorphは、フィッシングWebサイトを使用して被害者をだまし悪意のあるアプリをインストールさせる方法で配布されていることが特定されている。米国とスペインでは数千件のXenomorphがダウンロードされ、現在も進行中のキャンペーンが確認されており注意が必要。ThreatFabricは攻撃者のサーバへのアクセスに成功しており、複数の興味深いファイルを特定したとしている。

分析によると、新しく発見されたXenomorphには、米国の金融機関と暗号資産ウォレットアプリの新しいオーバレイが多数追加されている。分析したサンプルに搭載されていたオーバレイは100種を超えるとされ、これらオーバレイを悪用して被害者のデバイスから個人識別情報(PII: Personally Identifiable Information)を窃取したとみられている。

  • 最近のXenomorphのサンプルで確認されたオーバレイターゲットの数 - 提供:ThreatFabric

    最近のXenomorphのサンプルで確認されたオーバレイターゲットの数 資料:ThreatFabric

ThreatFabricでは今回発見されたキャンペーンでXenomorph以外のマルウェアも発見したとしており、その詳細を報告している。Xenomorphはその中でも非常に危険なAndroidデバイスを狙うバンキング型マルウェアとして評価されている。

今回のキャンペーンの分析にて複数のマルウェアファミリが確認された事実は、複数の攻撃者の協力関係、またはマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)により販売された可能性を示唆しており、今後このマルウェアの攻撃がさらに拡大する可能性があるとして注意を呼びかけている。