Малварь Xamalicious для Android затрагивает более 327,000 устройств

Исследователи безопасности в McAfee обнаружили новый вредоносный софт для Android, который заразил как минимум 327,000 устройств через вредоносные приложения в Google Play Store и сторонних магазинах приложений.

Названный «Xamalicious» командой мобильных исследований McAfee, этот вредоносный софт был создан с использованием Xamarin, открытого фреймворка, который позволяет создавать приложения для Android и iOS с помощью .NET и C#.

Вредоносное ПО для Android пытается получить привилегии доступности с помощью социальной инженерии, а затем устанавливает соединение с сервером командования и управления (C2), чтобы оценить, следует ли загружать полезную нагрузку второго этапа.

Эта динамическая полезная нагрузка, внедренная в виде сборки DLL на уровне выполнения, предоставляет злоумышленнику полный контроль над скомпрометированным устройством и потенциально выполняет мошеннические действия, такие как нажатие на рекламу и установка приложений, среди других действий, финансово мотивированных без согласия пользователя.

Кроме того, полезная нагрузка второго этапа, благодаря мощным службам доступности, может полностью контролировать зараженное устройство, что уже было предоставлено на первом этапе. Это также содержит функции для самостоятельного обновления основного APK, позволяя выполнять любые виды деятельности, такие как шпионское ПО или банковский троян, без взаимодействия с пользователем.

В блоге, написанном командой мобильных исследований McAfee, они сообщили, что идентифицировали около 25 различных вредоносных приложений, содержащих угрозу, 13 из которых были распространены в Google Play, некоторые с середины 2020 года.

Некоторые из приложений, затронутых вредоносным ПО Xamalicious, включают Essential Horoscope для Android (100,000 установок), 3D Skin Editor для PE Minecraft (100,000 установок), Logo Maker Pro (100,000 установок), Auto Click Repeater (10,000 установок), Count Easy Calorie Calculator (10,000 установок), Dots: One Line Connector (10,000 установок) и Sound Volume Extender (5,000 установок), среди прочих.

Согласно телеметрическим данным McAfee, большинство инфекций были установлены на устройствах в Соединенных Штатах, Германии, Испании, Великобритании, Австралии, Бразилии, Мексике и Аргентине.

Хотя затронутые приложения были проактивно удалены Google из Google Play до публикации блога McAfee, пользователи, установившие их с середины 2020 года, могут по-прежнему иметь активное вредоносное ПО Xamalicious на своих телефонах, что потребует ручной очистки и сканирования для обеспечения защиты от угроз вредоносного ПО.

В заявлении для The Hacker News Google заявила, что Google Play Protect защищает пользователей Android от вредоносного ПО как в магазине, так и вне его.

«Если пользователь уже установил одно из этих приложений, известных как содержащие вредоносное ПО, пользователь получил предупреждение, и оно было автоматически удалено с его устройства», - добавила Google.

«Если пользователь пытается установить приложение с этим идентифицированным вредоносным ПО, он получит предупреждение, и установка приложения будет заблокирована.»