Xamalicious Android-Malware betrifft über 327.000 Geräte

Sicherheitsforscher von McAfee haben eine neue Android-Backdoor-Malware entdeckt, die mindestens 327.000 Geräte über bösartige Apps im Google Play Store und in Drittanbieter-App-Stores infiziert hat.

Von dem McAfee Mobile Research Team als ‚Xamalicious‘ bezeichnet, wurde die Malware mit Xamarin, einem Open-Source-Framework, das die Erstellung von Android- und iOS-Apps mit .NET und C# ermöglicht, entwickelt.

Die Android-Malware versucht, Zugriffsrechte durch Social Engineering zu erlangen, und stellt dann eine Verbindung zum Command-and-Control (C2)-Server her, um zu bewerten, ob ein Payload der zweiten Stufe heruntergeladen werden soll oder nicht.

Dieses dynamische Payload, das zur Laufzeit als Assembly-DLL injiziert wird, gewährt dem Angreifer die volle Kontrolle über das kompromittierte Gerät und kann potenziell betrügerische Aktionen wie das Klicken auf Anzeigen und das Installieren von Apps durchführen, unter anderem finanziell motivierte Aktionen ohne Zustimmung des Benutzers.

Darüber hinaus kann das Payload der zweiten Stufe, aufgrund der leistungsstarken Zugriffsrechte, die volle Kontrolle über das infizierte Gerät übernehmen, die bereits in der ersten Phase gewährt wurde. Dies enthält auch Funktionen zur Selbstaktualisierung der Haupt-APK, sodass es jede Art von Aktivität wie Spyware oder Banking-Trojaner ohne Benutzerinteraktion durchführen kann.

In einem Blogbeitrag, der vom McAfee Mobile Research Team verfasst wurde, gaben sie an, etwa 25 verschiedene bösartige Apps identifiziert zu haben, die die Bedrohung enthalten, von denen 13 im Google Play verteilt wurden, einige seit Mitte 2020.

Einige der von der Xamalicious-Malware betroffenen Apps sind Essential Horoscope für Android (100.000 Installationen), 3D Skin Editor für PE Minecraft (100.000 Installationen), Logo Maker Pro (100.000 Installationen), Auto Click Repeater (10.000 Installationen), Count Easy Calorie Calculator (10.000 Installationen), Dots: One Line Connector (10.000 Installationen) und Sound Volume Extender (5.000 Installationen), unter anderem.

Laut den Telemetriedaten von McAfee wurden die meisten Infektionen auf Geräten in den Vereinigten Staaten, Deutschland, Spanien, Großbritannien, Australien, Brasilien, Mexiko und Argentinien installiert.

Während die betroffenen Apps proaktiv von Google aus dem Google Play entfernt wurden, bevor der Blogbeitrag von McAfee veröffentlicht wurde, könnten Benutzer, die diese seit Mitte 2020 installiert haben, möglicherweise noch die Xamalicious-Malware aktiv auf ihren Telefonen haben, was eine manuelle Bereinigung und Überprüfung erfordert, um den Schutz vor Malware-Bedrohungen sicherzustellen.

In einer Erklärung gegenüber The Hacker News sagte Google, dass Google Play Protect Android-Nutzer sowohl im Play Store als auch außerhalb des Play Stores vor Malware schützt.

„Wenn ein Benutzer bereits eine dieser Apps, von denen bekannt ist, dass sie die Malware enthalten, installiert hatte, erhielt der Benutzer eine Warnung und sie wurde automatisch von seinem Gerät deinstalliert“, fügte Google hinzu.

„Wenn ein Benutzer versucht, eine App mit dieser identifizierten Malware zu installieren, erhält er eine Warnung und die App wird von der Installation blockiert.