Неизвестный ранее бэкдор для Android под названием "Xamalicious" заразил около 338 300 устройств через вредоносные приложения в Google Play, официальном магазине приложений для Android.
Компания McAfee, входящая в App Defense Alliance, обнаружила 14 зараженных приложений в Google Play, причем три из них имели по 100 000 установок.
Несмотря на то, что приложения уже удалены из Google Play, пользователи, установившие их с середины 2020 года, могут по-прежнему иметь на своих телефонах активные Xamalicious-инфекции, требующие ручного сканирования и очистки.
Наиболее популярными из приложений Xamalicious являются следующие:
Кроме того, отдельный набор из 12 вредоносных приложений, несущих угрозу Xamalicious, статистика загрузок которых недоступна, распространяется в неофициальных сторонних магазинах приложений, заражая пользователей через загружаемые файлы APK (пакет для Android).
Согласно данным телеметрии McAfee, большинство заражений было установлено на устройствах в США, Германии, Испании, Великобритании, Австралии, Бразилии, Мексике и Аргентине.
Бэкдор Xamalicious для Android
Xamalicious - это Android-бэкдор на базе .NET, встроенный (в виде 'Core.dll' и 'GoogleService.dll') в приложения, разработанные с использованием открытого фреймворка Xamarin, что усложняет анализ его кода.
После установки он запрашивает доступ к службе Accessibility Service, что позволяет ему выполнять такие привилегированные действия, как навигационные жесты, скрывать экранные элементы и предоставлять себе дополнительные разрешения.
После установки он связывается с сервером C2 (command and control) для получения полезной нагрузки DLL второго уровня ("cache.bin"), если соблюдены определенные условия географического положения, сети, конфигурации устройства и статуса root.
Вредоносная программа способна выполнять следующие команды:
McAfee также обнаружила связь между Xamalicious и приложением для мошенничества с рекламой под названием "Cash Magnet", которое автоматически нажимает на рекламу и устанавливает рекламное ПО на устройство жертвы, чтобы принести доход своим операторам.
Поэтому не исключено, что Xamalicious также занимается рекламным мошенничеством на зараженных устройствах, снижая производительность процессора и пропускную способность сети.
Хотя Google Play не застрахован от загрузки вредоносных программ, такие инициативы, как App Defense Alliance, направлены на обнаружение и удаление новых угроз, появляющихся в магазине приложений, чего нельзя сказать о неофициальных и плохо модерируемых платформах.
Пользователям Android следует избегать загрузки приложений из сторонних источников, ограничиваться только основными приложениями, внимательно читать отзывы пользователей перед установкой и проводить всестороннюю проверку разработчика/издателя приложения, чтобы ограничить заражение своих мобильных устройств вредоносным ПО.
