Xamalicious Androidマルウェアが32万7000台以上のデバイスに影響を与える

McAfeeのセキュリティ研究者は、Google Playストアやサードパーティのアプリストアを通じて、少なくとも32万7000台のデバイスに感染した新しいAndroidバックドアマルウェアを発見しました。

McAfeeモバイル研究チームによって「Xamalicious」と名付けられたこのマルウェアは、.NETとC#を使用してAndroidおよびiOSアプリを構築するためのオープンソースフレームワークであるXamarinを使用して作成されました。

このAndroidマルウェアは、ソーシャルエンジニアリングを用いてアクセシビリティ権限を取得し、その後、コマンド＆コントロール（C2）サーバーとの接続を確立して、第二段階のペイロードをダウンロードするかどうかを評価します。

この動的ペイロードは、実行時レベルでアセンブリDLLとして注入され、攻撃者に侵害されたデバイスの完全な制御を与え、ユーザーの同意なしに広告をクリックしたり、アプリをインストールしたりするなどの金銭的に動機づけられた不正行為を実行する可能性があります。

さらに、第二段階のペイロードは、強力なアクセシビリティサービスにより、最初の段階で既に付与された感染したデバイスの完全な制御を取得できます。これには、ユーザーの操作なしにスパイウェアやバンキングトロイの木馬のようなあらゆる種類の活動を実行するために、メインAPKを自己更新する機能も含まれています。

McAfeeモバイル研究チームが書いたブログ投稿によると、脅威を含む約25種類の悪意のあるアプリを特定し、そのうち13種類は2020年中頃からGoogle Playで配布されていました。

Xamaliciousマルウェアの影響を受けたアプリには、Essential Horoscope for Android（100,000インストール）、3D Skin Editor for PE Minecraft（100,000インストール）、Logo Maker Pro（100,000インストール）、Auto Click Repeater（10,000インストール）、Count Easy Calorie Calculator（10,000インストール）、Dots: One Line Connector（10,000インストール）、Sound Volume Extender（5,000インストール）などがあります。

McAfeeのテレメトリーデータによると、感染の大多数はアメリカ、ドイツ、スペイン、イギリス、オーストラリア、ブラジル、メキシコ、アルゼンチンのデバイスにインストールされていました。

影響を受けたアプリは、McAfeeのブログ投稿が公開される前にGoogleによってGoogle Playから積極的に削除されましたが、2020年中頃以降にそれらをインストールしたユーザーは、依然としてXamaliciousマルウェアが電話にアクティブな状態で存在する可能性があり、マルウェアの脅威から保護するためには手動でのクリーンアップとスキャンが必要です。

The Hacker Newsへの声明で、GoogleはGoogle Play ProtectがAndroidユーザーをPlayストア内外のマルウェアから保護していると述べました。

「もしユーザーがマルウェアを含むことが知られているアプリのいずれかを既にインストールしていた場合、ユーザーは警告を受け、そのアプリは自動的にデバイスからアンインストールされました」とGoogleは付け加えました。

「もしユーザーがこの特定されたマルウェアを含むアプリをインストールしようとすると、警告が表示され、そのアプリはインストールをブロックされます。」