Новое вредоносное ПО Xamalicious для Android поразило более 327 000 устройств.

Исследователи из группы McAfee Mobile обнаружили новый вредоносный бэкдор для устройств с операционной системой Android, получивший имя Xamalicious.

Этот вирус получил свое название в связи с использованием платформы мобильных приложений с открытым исходным кодом Xamarin. Он представляет серьезную угрозу, поскольку злоупотребляет разрешениями доступа операционной системы для осуществления различных вредоносных действий.

Xamalicious способен собирать метаданные о зараженном устройстве, а затем связываться с сервером управления и контроля (C2) для получения вредоносной нагрузки на втором этапе. Для этого он осуществляет проверку на соответствие необходимым требованиям. После этого вирус динамически внедряется в виде сборки DLL на уровне выполнения, что позволяет ему получить полный контроль над зараженным устройством и проводить различные мошеннические действия, такие как переадресация на рекламные сайты, самостоятельная установка приложений и другие финансовые махинации, действуя без согласия пользователя.

По оценкам компании по кибербезопасности, обнаружено, что 25 приложений, содержали эту активную угрозу. Некоторые из этих приложений были распространены в официальном магазине приложений Google Play с середины 2020 года. Согласно данным, примерно 327 000 устройств были заражены этими вредоносными приложениями, что делает Xamalicious серьезной угрозой для пользователей Android-устройств.
Большинство случаев заражения зарегистрировано в Бразилии, Аргентине, Великобритании, Австралии, США, Мексике и других частях Европы и Америки. Некоторые из приложений перечислены ниже:

• Essential Horoscope for Android (com.anomenforyou.essentialhoroscope)
• 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft)
• Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)
• Auto Click Repeater (com.autoclickrepeater.free)
• Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator
• Sound Volume Extender (com.muranogames.easyworkoutsathome)
• LetterLink (com.regaliusgames.llinkgame)
• NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com. Ushak. NPHOROSCOPENUMBER)
• Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter)
• Track Your Sleep (com.shvetsStudio.trackYourSleep)
• Sound Volume Booster (com.devapps.soundvolumebooster)
• Astrological Navigator: Daily Horoscope & Tarot (com. Osinko. HoroscopeTaro)
• Universal Calculator (com. Potap64.universalcalculator)

Xamalicious, который обычно маскируется под приложения для здоровья, игр, гороскопов и продуктивности, является последним в длинном списке семейств вредоносных программ, которые злоупотребляют службами доступности Android, запрашивая у пользователей доступ к ним при установке для выполнения своих задач.

«Чтобы избежать анализа и обнаружения, авторы вредоносной программы зашифровали все коммуникации и данные, передаваемые между C2 и зараженным устройством, не только под защитой HTTPS, но и в виде токена JSON Web Encryption (JWE) с использованием RSA-OAEP с алгоритмом 128CBC-HS256»

- отметил Руис.

Дроппер первой стадии имеет функции для самостоятельного обновления основного файла пакета Android (APK), что позволяет использовать его в качестве шпионского ПО или банковского трояна без вмешательства пользователя. McAfee выявила, что Xamalicious связано с приложением для мошенничества с рекламой под названием Cash Magnet, которое способствует незаконной деятельности кликеров.

«Приложения для Android, написанные не на java-коде с использованием таких фреймворков, как Flutter, react native и Xamarin, могут обеспечить дополнительный уровень обфускации для авторов вредоносных программ, которые намеренно выбирают эти инструменты, чтобы избежать обнаружения и попытаться остаться под радаром поставщиков безопасности и сохранить свое присутствие на рынках приложений»

- говорит Руис.