Modul de operare al Xamalicious
Xamalicious folosește un cadru de aplicație de tip opensource numit Xamarin pentru a se ascunde pe un dispozitiv ce folosește Android.
Acest lucru permite malware-ului să aibă acces discreționar la permisiunile sistemului de operare Android.
În termeni simpli, malware-ul este capabil să colecteze metadate din dispozitivul Android, care pot fi folosite pentru a fura fondurile utilizatorilor.
Alte acțiuni pe care malware-ul le poate întreprinde includ accesarea anunțurilor și instalarea de aplicații malițioase printre alte acțiuni cu motivație financiară fără consimțământul utilizatorului.
Malware-ul a fost descoperit în 25 de aplicații identificate până acum, dintre care unele au fost distribuite în magazinul oficial Google Play. Se estimează că aplicațiile au fost instalate de cel puțin de 327.000 de ori.
Majoritatea infecțiilor au fost raportate în Brazilia, Argentina, SUA, Marea Britanie, Australia, Mexic și în unele părți ale Europei.
De asemenea, virusul este capabil să colecteze metadate despre dispozitivul compromis și să contacteze un server de control și comandă (C2) pentru a prelua un payload de etapă secundară, dar numai după ce se asigură că este potrivit.
Malware ascuns în aplicații aparent inofensive pe Android
Xamalicious, care se ascunde în mod obișnuit sub aplicații aparent inofensive precum cele de sănătate, jocuri, horoscop și productivitate, reprezintă cea mai recentă adiție la o lungă listă de familii de malware care exploatează serviciile de accesibilitate ale Android. Acestea solicită accesul utilizatorilor la momentul instalării pentru a efectua acțiuni privilegiate, inclusiv acordarea de permisiuni suplimentare, după cum este necesar. Câteva dintre aplicații sunt listate mai jos:
- Essential Horoscope for Android (com.anomenforyou.essentialhoroscope);
- 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft);
- Logo Maker Pro (com.vyblystudio.dotslinkpuzzles);
- Auto Click Repeater (com.autoclickrepeater.free);
- Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator);
- Sound Volume Extender (com.muranogames.easyworkoutsathome);
- LetterLink (com.regaliusgames.llinkgame);
- NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER);
- Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter);
- Track Your Sleep (com.shvetsStudio.trackYourSleep);
- Sound Volume Booster (com.devapps.soundvolumebooster);
- Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro);
- Universal Calculator (com.Potap64.universalcalculator).
Pentru a evita analiza și detectarea, autorii malware-ului au criptat toate comunicările și datele transmise între C2 și dispozitivul infectat, fiind protejate nu doar prin HTTPS, ci și criptate sub formă de un token.
Capabilități avansate de auto-actualizare și legătură cu aplicația frauduloasă Cash Magnet
Încă mai îngrijorător, malware-ul conține funcții pentru auto-actualizarea fișierului principal al pachetului de aplicații Android (APK), ceea ce înseamnă că poate fi folosit pentru a acționa ca spyware sau troian bancar fără nicio interacțiune din partea utilizatorului.
A fost identificată o legătură între Xamalicious și o aplicație de fraudă publicitară numită Cash Magnet, care facilitează descărcarea de aplicații și activitatea automată de clic pentru a obține ilegal venituri din accesarea anunțurilor.
Ca răspuns la această amenințare, Google a declarat că Play Protect protejează utilizatorii Android împotriva malware-ului atât pe Play Store, cât și în afara acestuia. Google a declarat că dacă un utilizator avea deja una dintre aceste aplicații cunoscute pentru a conține malware instalată, utilizatorul primea o avertizare și aceasta era dezinstalată automat de pe dispozitivul lor. Dacă un utilizator încearcă să instaleze o aplicație cu acest malware identificat, va primi o avertizare și instalarea aplicației va fi blocată.
Campanii cu malware bancar în India
Această amenințare a Xamalicious vine în același context în care o campanie de phishing folosește aplicații de mesagerie socială precum WhatsApp pentru a distribui fișiere APK false care se dau drept bănci legitime, cum ar fi State Bank of India (SBI), și solicită utilizatorului să le instaleze pentru a completa o procedură obligatorie de cunoaștere a clientului (KYC).
Odată instalată, aplicația îi solicită utilizatorului să îi acorde permisiuni legate de mesaje SMS și îl redirecționează către o pagină falsă care nu numai că captură datele de conectare ale victimei, ci și informațiile despre contul lor, cardul de credit/debit și identitatea națională.
Datele colectate, alături de mesajele SMS interceptate, sunt ulterior trimise către un server controlat de actorul malefic, permițând adversarului să efectueze tranzacții neautorizate.
Luna trecută Microsoft a avertizat cu privire la o campanie similară care utilizează WhatsApp și Telegram ca vectori de distribuție pentru a viza utilizatorii indieni ce folosesc online sisteme bancare.
India subliniază amenințarea acută reprezentată de acest malware bancar în cadrul peisajului digital al țării, cu câteva atacuri găsite și în alte părți ale lumii, posibil de la utilizatori indieni SBI care trăiesc în alte țări.
Cum să rămâi în siguranță
Pentru început, este important să menții întotdeauna dispozitivul actualizat cu cea mai recentă versiune de software.
Ar trebui să eviți instalarea aplicațiilor din magazinele de aplicații neoficiale, și chiar și atunci, să faci o cercetare prealabilă.
În plus, nu ar trebui să descarci niciodată nimic din ferestrele pop-up, care nu sunt de încredere, sau de pe site-uri cu aspect suspect.
Este, de asemenea, indicat să instalezi un antivirus pe dispozitivul tău pentru a scana dispozitivul de orice tip de malware.