El malware Xamalicious para Android afecta a más de 327,000 dispositivos

Los investigadores de seguridad de McAfee han descubierto un nuevo malware de puerta trasera para Android que ha infectado al menos 327,000 dispositivos a través de aplicaciones maliciosas en Google Play Store y tiendas de aplicaciones de terceros.

Apodado ‘Xamalicious’ por el equipo de investigación móvil de McAfee, el malware fue creado utilizando Xamarin, un marco de código abierto que permite construir aplicaciones para Android e iOS con .NET y C#.

El malware para Android intenta obtener privilegios de accesibilidad mediante ingeniería social y luego establece una conexión con el servidor de comando y control (C2) para evaluar si descargar o no una carga útil de segunda etapa.

Esta carga útil dinámica inyectada como un DLL de ensamblado a nivel de tiempo de ejecución otorga al atacante control total del dispositivo comprometido y potencialmente realiza acciones fraudulentas como hacer clic en anuncios e instalar aplicaciones, entre otras acciones motivadas financieramente sin el consentimiento del usuario.

Además, la carga útil de segunda etapa, debido a los potentes servicios de accesibilidad, puede tomar el control total del dispositivo infectado que ya se había otorgado durante la primera etapa. Esto también contiene funciones para auto-actualizar el APK principal, permitiéndole realizar cualquier tipo de actividad como spyware o troyano bancario sin interacción del usuario.

En una publicación de blog escrita por el equipo de investigación móvil de McAfee, dijeron que identificaron alrededor de 25 aplicaciones maliciosas diferentes que contienen la amenaza, 13 de las cuales fueron distribuidas en Google Play, algunas desde mediados de 2020.

Algunas de las aplicaciones afectadas por el malware Xamalicious incluyen Essential Horoscope para Android (100,000 instalaciones), 3D Skin Editor para PE Minecraft (100,000 instalaciones), Logo Maker Pro (100,000 instalaciones), Auto Click Repeater (10,000 instalaciones), Count Easy Calorie Calculator (10,000 instalaciones), Dots: One Line Connector (10,000 instalaciones) y Sound Volume Extender (5,000 instalaciones), entre otras.

Según los datos de telemetría de McAfee, la mayoría de las infecciones se instalaron en dispositivos en Estados Unidos, Alemania, España, Reino Unido, Australia, Brasil, México y Argentina.

Si bien las aplicaciones afectadas han sido eliminadas proactivamente por Google de Google Play antes de que se publicara la entrada del blog de McAfee, los usuarios que las han instalado desde mediados de 2020 pueden aún tener el malware Xamalicious activo en sus teléfonos, lo que requeriría limpieza y escaneo manual para garantizar la protección contra amenazas de malware.

En una declaración a The Hacker News, Google dijo que Google Play Protect protege a los usuarios de Android de malware tanto en la Play Store como fuera de ella.

“Si un usuario ya tenía instalada una de estas aplicaciones conocidas por contener el malware, el usuario recibió una advertencia y se desinstaló automáticamente de su dispositivo,” agregó Google.

“Si un usuario intenta instalar una aplicación con este malware identificado, recibirá una advertencia y la aplicación será bloqueada para su instalación.