Ez idáig már közel 50 000-en telepítették a Google Play Áruházból azt az alkalmazást, amely egy új androidos banki trójai programot terjeszt, és ami mintegy 56 európai bank ügyfeleinek érzékeny adatait igyekszik begyűjteni. A ThreatFabric holland biztonsági cég kutatói Xenomorph névre keresztelték azt a rosszindulatú programot, amely mutat némi hasonlóságot egy korábbi Alien néven emlegetett banki trójaival, mégis a funkciók tekintetében lényegesen különbözik elődjétől.
Az Alien egy távoli elérésű trójai (RAT) program, ami képes a fertőzött eszköz értesítéseit eltéríteni, beleértve a kétfaktoros azonosításhoz (2FA) használt kódokat is. Megjelenésére 2020. augusztus után – a Cerberus eltűnését követően – derült fény. Időközben, 2021 szeptemberében a Cerberus további utódjait is felfedezték, köztük az ERMAC-ot.
A Xenomorph is – akárcsak az Alien és az ERMAC – képes megkerülni a Google Play Store védelmi rendszerét, mindezt úgy, hogy más, legitim alkalmazásnak álcázza magát. Jelen esetben a fertőzés például a „Fast Cleaner” nevű appal történik, ami 2022. január második felében jelent meg a Play Store-ban, és a The Hacker News cikkének publikációjának közlésekor még továbbra is elérhető volt az alkalmazásboltban. A Sensor Tower mobilpiaci cég szerint leginkább Portugáliában és Spanyolországban szedte áldozatait, annak ellenére, hogy a felhasználói vélemények között többen is felhívták a figyelmet az alkalmazás káros tevékenységére. Sikeres eszközfertőzés esetén a Xenomorph hozzáférési jogosultságot kér az Accessibility Service-hez és – jellemzően spanyol, portugál, olasz és belga – alkalmazások bejelentkezési oldalai helyett hamis, adatlopásra alkalmas felületeket jelenít meg, ami mellett a 2FA kódokat is eltéríti.
