Тројанецот Ксеноморф првпат беше забележан во февруари 2022 година, кога беше откриено дека ги таргетира корисниците на 56 европски банки. Малициозниот софтвер тогаш беше дистрибуиран преку dropper апликацијата за подобрување на перформансите на уредот наречена „Fast Cleaner“, која беше преземена 50 000 пати од продавницата на Google Play. Апликацијата, всушност, беше класична мамка што ја користат банкарските тројанци, бидејќи кај корисниците секогаш постои интерес за апликации што ветуваат подобрување на перформансите на уредите со Android. За да ги помине проверките на Play Store, апликацијата Fast Cleaner го преземала малициозниот софтвер само по инсталацијата. Првата верзија ги злоупотребуваше услугите за пристапност на Android (Accessibility Services), за што мораше да добие дозвола од корисникот, а потоа овие услуги  ги користеше за да си даде дополнителни дозволи по потреба. Злонамерниот софтвер прикажуваше лажни екрани за најавување преку таргетирани банкарски апликации за да ги украде лозинките и другите лични информации на жртвите.

Развојот на малициозниот софтвер продолжи во текот на 2022 година, но неговата следна верзија никогаш не беше широко дистрибуирана.

Xenomorph v3 е многу помоќен и позрел од претходните верзии и е способен за автоматска кражба на податоците, вклучително и акредитиви и салда на сметки, извршување на финансиски трансакции и финализирање на трансфери на средства.

„Со овие нови функции, Xenomorph сега може да го заврши целиот синџир на измами, од инфекција до ексфилтрација на средствата, што го прави еден од најнапредните и најопасните Android тројанци во оптек“, предупреди ThreatFabric.

Hadoken најверојатно планира да го продаде Xenomorph преку платформата MaaS (Malware as a Service), а лансирањето на веб-сајт што ја промовира новата верзија на малициозниот софтвер ја поддржува оваа теза.

Во моментов, Xenomorph v3 се дистрибуира преку платформата "Zombinder" во продавницата на Google Play, претставувајќи се како конвертор на валута и по инсталацијата ја користи иконата Play Protect. Малициозниот софтвер сега може да украде акредитиви за повеќе од 400 банки и паричници за криптовалути. Банките кои се цел на малициозниот софтвер се лоцирани главно во САД, Шпанија, Турција, Полска, Австралија, Канада, Италија, Португалија, Франција, Германија, ОАЕ и Индија.

Злонамерниот софтвер таргетира и 13 паричници за криптовалути, вклучувајќи ги Binance, BitPay, KuCoin, Gemini и Coinbase.

Една од најимпресивните карактеристики на новата верзија на Xenomorph е неговата способност да ја евидентира содржината на апликациите за автентикација, што му овозможува на малициозниот софтвер да ја надмине заштитата за повеќефакторска автентикација која инаку автоматски би ги блокирала трансакциите. Со оглед на тоа што банките постепено ја исфрлаат СМС МФА и наместо тоа предлагаат клиентите да користат апликации за автентикација, способноста на Xenomorph да пристапи до овие апликации на истиот уред се чини мошне вознемирувачка.

Освен горенаведеното, новиот Xenomorph може да украде колачиња од Android CookieManager, кој ги складира колачињата на веб-сесијата на корисникот. Потоа отвора прозорец во прелистувачот со URL на легитимна услуга овозможена од JavaScript, што ја поттикнува жртвата да ги внесе своите информации за најава. Ова им овозможува на напаѓачите да ги преземат веб-сесиите на жртвата, како и нивните сметки.

Со оглед на нејзиниот сегашен канал на дистрибуција, платформата Zombinder што се користи за поврзување на малициозен софтвер и легитимни апликации, корисниците треба да бидат внимателни со апликациите што ги инсталираат од Google Play, да ги читаат рецензиите и да ја проверуваат репутацијата на издавачот.

Се препорачува бројот на инсталирани апликации на телефонот да биде што помал и да инсталирате само апликации од познати и доверливи програмери.