Questo malware Android si avvia automaticamente e può rubare dati sensibili

I ricercatori di cybersecurity di McAfee hanno scoperto che una versione aggiornata del malware Android, XLoader, può avviarsi automaticamente sugli smartphone Android infetti dopo l’installazione senza la necessità di alcuna interazione da parte dell’utente.

XLoader, noto anche come MoqHao, è un ceppo di malware probabilmente creato da un attore minaccioso motivato finanziariamente chiamato ‘Roaming Mantis’.

Questo malware è principalmente distribuito tramite link URL accorciati in messaggi di testo sui dispositivi Android, che, quando cliccati, reindirizzano a un sito web per scaricare un file di installazione APK Android per un’app mobile.

Questo consente al malware di funzionare silenziosamente in background ed estrarre informazioni personali e private dai dispositivi compromessi, inclusi metadati del dispositivo, foto, messaggi di testo, elenchi di contatti, chiamate a numeri specifici in modalità silenziosa e potenzialmente informazioni bancarie, tra le altre cose.

“Il MoqHao tipico richiede agli utenti di installare e avviare l’app per ottenere il loro scopo desiderato, ma questa nuova variante non richiede alcuna esecuzione. Mentre l’app è installata, la loro attività malevola inizia automaticamente,” spiega McAfee, un partner dell’App Defense Alliance di Android, in un rapporto pubblicato questa settimana.

“Abbiamo già segnalato questa tecnica a Google e stanno già lavorando all’implementazione di mitigazioni per prevenire questo tipo di auto-esecuzione in una futura versione di Android.”

Per ingannare l’utente, il malware si traveste da app legittima, spesso fingendo di essere il browser web Google Chrome. Utilizza stringhe Unicode nei nomi delle app per offuscare, il che gli consente di cercare permessi rischiosi sul dispositivo, come inviare e accedere al contenuto degli SMS, e di poter sempre funzionare in background aggiungendo un’esclusione dall’Ottimizzazione della Batteria di Android.

Inoltre, la falsa app Chrome chiede anche agli utenti se vogliono impostarla come app SMS predefinita con il pretesto che farlo aiuterà a prevenire lo spam.

In aggiunta, il malware impiega anche messaggi di phishing, il cui contenuto è estratto dal campo bio (o descrizione) dei profili fraudolenti di Pinterest, che vengono poi inviati agli smartphone infetti per eludere il rilevamento da parte del software antivirus.

Se il malware non riesce ad accedere a Pinterest, utilizza quindi messaggi di phishing hardcoded che notificano le potenziali vittime che c’è qualcosa di sospetto con il loro conto bancario e devono agire immediatamente.

I ricercatori di McAfee hanno notato che alcuni messaggi pop-up malevoli visualizzati chiedevano permessi in inglese, coreano, francese, giapponese, tedesco e hindi, il che indica anche i target attuali di XLoader. Credono che, oltre al Giappone, il malware stia anche prendendo di mira gli utenti Android in Corea del Sud, Francia, Germania e India.

Per rimanere protetti dal malware XLoader, si consiglia agli utenti di non installare app da fonti non ufficiali o aprire URL accorciati nei messaggi di testo e di essere molto cauti nel concedere permessi alle app che installano. Inoltre, limitare il numero di app installate sul proprio telefono Android e installare app solo da sviluppatori affidabili.

Inoltre, attivare Google Play Protect sul proprio smartphone Android in modo che possa scansionare tutte le app attuali e qualsiasi nuova app scaricata per malware.

Considerare anche l’installazione di software antivirus aggiuntivo per Android per una maggiore sicurezza.