Banking-Trojaner

Xenomorph: Neue gefährlichere Version der Android-Malware aufgetaucht

Knapp ein Jahr nach dem ersten Auftauchen des Xenomorph-Trojaners ist eine neue Version der Malware im Umlauf, die noch gefährlicher und weitflächiger agieren soll.

News

Android-Malware Xenomorph — Xenomorph: Die dritte Version der Android-Malware nimmt wohl deutlich mehr Banken ins Visier.

Im Mai 2022 entdeckten Sicherheitsforscher die erste Variante der "Xenomorph" genannten Malware, die es insbesondere auf Bankdaten abgesehen hatte. In der Zwischenzeit ist es etwas ruhiger um den potenziell äußerst schädlichen Trojaner geworden, doch wie Forscher des Portals ThreatFabric verlauten lassen, ist mittlerweile bereits die dritte Version von Xenomorph im Umlauf und deutlich gefährlicher unterwegs.

Konkret könne Xenomorph nun die meisten seiner kriminellen Aktivitäten vollautomatisch ausführen: So kann die Malware über infizierte Geräte etwa Daten und Kontostände stehlen sowie automatisch und selbständig Überweisungen tätigen. Dies erhebe Xenomorph zu einem der "fortschrittlichsten und gefährlichsten Banking-Trojaner" seiner Zeit, wie ThreatFabric erklärt.

So soll Xenomorph v3 den gesamten Ablauf von der Infizierung des Geräts bis zur Überweisung von Geld ohne aktiven Einfluss seitens der Angreifer durchführen können. Selbst eine etwaig vorhandene Multi-Faktor-Authentifizierung soll die Malware automatisch umgehen können.

Neben der erhöhten Gefahr durch die intelligenter werdende Malware habe sich auch der Angriffsradius von Xenomorph vergrößert. So seien laut den Forschern nunmehr weltweit rund 400 Bankinstitute ins Visier der Malware geraten. Darunter befinden sich auch 18 Banken in Deutschland, unter anderem seien die ING-DiBa, Deutsche Bank und Citibank betroffen.

Welche Apps konkret für die Verteilung von Xenomorph verantwortlich sind, ist noch nicht bekannt. Xenomorph wird offenbar mit echten Apps verknüpft, die tatsächlich ihre beworbenen Funktionen ausführen. ThreatFabric nennt als Beispiel einen Währungsrechner. Nach der Installation der App werde die Malware als "Update" heruntergeladen und verstecke sich anschließend hinter einem Icon von Google Play Protect.