Il malware Android Xamalicious colpisce oltre 327.000 dispositivi

I ricercatori della sicurezza di McAfee hanno scoperto un nuovo malware backdoor per Android che ha infettato almeno 327.000 dispositivi tramite app malevole presenti nel Google Play Store e in negozi di app di terze parti.

Chiamato ‘Xamalicious’ dal McAfee Mobile Research Team, il malware è stato creato utilizzando Xamarin, un framework open-source che consente di costruire app per Android e iOS con .NET e C#.

Il malware Android cerca di ottenere privilegi di accessibilità tramite ingegneria sociale e poi stabilisce una connessione con il server di comando e controllo (C2) per valutare se scaricare o meno un payload di seconda fase.

Questo payload dinamico iniettato come assembly DLL a livello di runtime concede all’attaccante il pieno controllo del dispositivo compromesso e può potenzialmente eseguire azioni fraudolente come cliccare su annunci e installare app, tra le altre azioni motivate finanziariamente senza il consenso dell’utente.

Inoltre, il payload di seconda fase, grazie ai potenti servizi di accessibilità, può prendere il pieno controllo del dispositivo infetto che era già stato concesso durante la prima fase. Questo contiene anche funzioni per auto-aggiornare l’APK principale, consentendogli di eseguire qualsiasi tipo di attività come spyware o trojan bancario senza interazione dell’utente.

In un post sul blog scritto dal McAfee Mobile Research Team, hanno dichiarato di aver identificato circa 25 diverse app malevole che contengono la minaccia, 13 delle quali sono state distribuite su Google Play, alcune sin dalla metà del 2020.

Alcune delle app colpite dal malware Xamalicious includono Essential Horoscope per Android (100.000 installazioni), 3D Skin Editor per PE Minecraft (100.000 installazioni), Logo Maker Pro (100.000 installazioni), Auto Click Repeater (10.000 installazioni), Count Easy Calorie Calculator (10.000 installazioni), Dots: One Line Connector (10.000 installazioni) e Sound Volume Extender (5.000 installazioni), tra le altre.

Secondo i dati di telemetria di McAfee, la maggior parte delle infezioni è stata installata su dispositivi negli Stati Uniti, Germania, Spagna, Regno Unito, Australia, Brasile, Messico e Argentina.

Sebbene le app colpite siano state rimosse proattivamente da Google dal Google Play prima che il post del blog di McAfee fosse pubblicato, gli utenti che le hanno installate dalla metà del 2020 potrebbero avere ancora attivo il malware Xamalicious sui loro telefoni, il che richiederebbe una pulizia manuale e una scansione per garantire la protezione contro le minacce malware.

In una dichiarazione a The Hacker News, Google ha affermato che Google Play Protect protegge gli utenti Android dai malware sia su che fuori dal Play Store.

“Se un utente aveva già installata una di queste app note per contenere il malware, l’utente ha ricevuto un avviso ed è stata disinstallata automaticamente dal loro dispositivo,” ha aggiunto Google.

“Se un utente prova a installare un’app con questo malware identificato, riceverà un avviso e l’app verrà bloccata dall’installazione.