Malware Android Xamalicious Afeta Mais de 327.000 Dispositivos

Pesquisadores de segurança da McAfee descobriram um novo malware de backdoor Android que infectou pelo menos 327.000 dispositivos através de aplicativos maliciosos na Google Play Store e em lojas de aplicativos de terceiros.

Chamado de ‘Xamalicious’ pela equipe de pesquisa móvel da McAfee, o malware foi criado usando Xamarin, um framework de código aberto que permite a construção de aplicativos Android e iOS com .NET e C#.

O malware Android tenta obter privilégios de acessibilidade com engenharia social e, em seguida, estabelece uma conexão com o servidor de comando e controle (C2) para avaliar se deve ou não baixar um payload de segunda etapa.

Esse payload dinâmico injetado como uma DLL de assembly em nível de tempo de execução concede ao atacante controle total do dispositivo comprometido e potencialmente realiza ações fraudulentas, como clicar em anúncios e instalar aplicativos, entre outras ações financeiramente motivadas sem o consentimento do usuário.

Além disso, o payload de segunda etapa, devido aos poderosos serviços de acessibilidade, pode assumir o controle total do dispositivo infectado que já foi concedido durante a primeira etapa. Isso também contém funções para autoatualizar o APK principal, permitindo que ele realize qualquer tipo de atividade, como spyware ou trojan bancário, sem interação do usuário.

Em uma postagem no blog escrita pela equipe de pesquisa móvel da McAfee, eles disseram ter identificado cerca de 25 aplicativos maliciosos diferentes que contêm a ameaça, 13 dos quais foram distribuídos na Google Play, alguns desde meados de 2020.

Alguns dos aplicativos afetados pelo malware Xamalicious incluem Horóscopo Essencial para Android (100.000 instalações), Editor de Pele 3D para PE Minecraft (100.000 instalações), Criador de Logotipo Pro (100.000 instalações), Repetidor de Clique Automático (10.000 instalações), Calculadora de Calorias Fáceis (10.000 instalações), Dots: Conector de Uma Linha (10.000 instalações) e Extensor de Volume de Som (5.000 instalações), entre outros.

De acordo com os dados de telemetria da McAfee, a maioria das infecções foi instalada em dispositivos nos Estados Unidos, Alemanha, Espanha, Reino Unido, Austrália, Brasil, México e Argentina.

Embora os aplicativos afetados tenham sido removidos proativamente pelo Google da Google Play antes da publicação da postagem no blog da McAfee, os usuários que os instalaram desde meados de 2020 podem ainda ter o malware Xamalicious ativo em seus telefones, o que exigiria limpeza e verificação manual para garantir proteção contra ameaças de malware.

Em uma declaração ao The Hacker News, o Google disse que o Google Play Protect protege os usuários Android contra malware tanto na Play Store quanto fora dela.

“Se um usuário já tinha um desses aplicativos conhecidos por conter o malware instalado, o usuário recebeu um aviso e ele foi automaticamente desinstalado de seu dispositivo”, acrescentou o Google.

“Se um usuário tentar instalar um aplicativo com esse malware identificado, receberá um aviso e o aplicativo será bloqueado de ser instalado.