Le malware Android Xamalicious affecte plus de 327 000 appareils

Des chercheurs en sécurité de McAfee ont découvert un nouveau malware de porte dérobée Android qui a infecté au moins 327 000 appareils via des applications malveillantes sur le Google Play Store et des magasins d’applications tiers.

Baptisé ‘Xamalicious’ par l’équipe de recherche mobile de McAfee, le malware a été conçu à l’aide de Xamarin, un cadre open-source qui permet de créer des applications Android et iOS avec .NET et C#.

Le malware Android essaie d’obtenir des privilèges d’accessibilité par ingénierie sociale et établit ensuite une connexion avec le serveur de commande et de contrôle (C2) pour évaluer s’il doit ou non télécharger une charge utile de deuxième étape.

Cette charge utile dynamique injectée sous forme de DLL d’assemblage au niveau d’exécution accorde à l’attaquant un contrôle total de l’appareil compromis et peut potentiellement effectuer des actions frauduleuses telles que cliquer sur des publicités et installer des applications, parmi d’autres actions motivées financièrement sans le consentement de l’utilisateur.

De plus, la charge utile de deuxième étape, en raison des puissants services d’accessibilité, peut prendre le contrôle total de l’appareil infecté qui avait déjà été accordé lors de la première étape. Cela contient également des fonctions pour auto-mettre à jour le fichier APK principal, lui permettant d’effectuer tout type d’activité comme un logiciel espion ou un cheval de Troie bancaire sans interaction de l’utilisateur.

Dans un article de blog rédigé par l’équipe de recherche mobile de McAfee, ils ont déclaré avoir identifié environ 25 applications malveillantes différentes contenant la menace, dont 13 ont été distribuées sur Google Play, certaines depuis mi-2020.

Certaines des applications affectées par le malware Xamalicious incluent Essential Horoscope for Android (100 000 installations), 3D Skin Editor for PE Minecraft (100 000 installations), Logo Maker Pro (100 000 installations), Auto Click Repeater (10 000 installations), Count Easy Calorie Calculator (10 000 installations), Dots: One Line Connector (10 000 installations), et Sound Volume Extender (5 000 installations), parmi d’autres.

Selon les données de télémétrie de McAfee, la majorité des infections ont été installées sur des appareils aux États-Unis, en Allemagne, en Espagne, au Royaume-Uni, en Australie, au Brésil, au Mexique et en Argentine.

Bien que les applications affectées aient été proactivement supprimées par Google du Google Play avant la publication de l’article de blog de McAfee, les utilisateurs qui les ont installées depuis mi-2020 peuvent encore avoir le malware Xamalicious actif sur leurs téléphones, ce qui nécessiterait un nettoyage manuel et un scan pour garantir une protection contre les menaces de malware.

Dans une déclaration à The Hacker News, Google a déclaré que Google Play Protect protège les utilisateurs Android contre les malwares à la fois sur et hors du Play Store.

« Si un utilisateur avait déjà l’une de ces applications connues pour contenir le malware installée, l’utilisateur a reçu un avertissement et elle a été automatiquement désinstallée de son appareil », a ajouté Google.

« Si un utilisateur essaie d’installer une application avec ce malware identifié, il recevra un avertissement et l’application sera bloquée pour être installée. »