Специалисты по кибербезопасности из компании McAfee сообщили об обнаружении новой и более опасной модификации Android-вируса XLoader. Он способен автоматически запускаться на заражённых устройствах без каких-либо действий со стороны пользователя.
Семейство вредоносных приложений XLoader (иногда его называют MoqHao) существует по меньшей мере с 2015 года и разрабатывается хакерской группой Roaming Mantis. Известны случаи заражения устройств пользователей во Франции, Германии, Японии, Корее, Тайване, Великобритании и США.
Новая модификация вируса, как прежде, распространяется злоумышленниками через текстовые сообщения, содержащие ссылку на загрузку вредоносного ПО. При нажатии на неё пользователю предлагается установить браузер Google Chrome. И если ранее для активации вируса приложение нужно было ещё и запустить, то теперь достаточно просто установить его на устройство, а дальше он начинает действовать в фоне. Вместе с тем, выдавая себя за Google Chrome, ПО просит ряд разрешений, в том числе на установку в качестве приложения для обмена сообщениями по умолчанию для защиты от спама.
Получив необходимые разрешения, XLoader начинает показывать пользователю разные фишинговые приложения. Например, о проблемах с банковским счётом, вынуждая пользователя переходить по ссылкам. Кроме того, вирус способен удалённо выполнять порядка 20 команд, включая отправку всех фотографий, сообщений на сервер злоумышленников, рассылку сообщений контактам и загрузку других вредоносных программ.
По словам экспертов, владельцам устройств с активной защитой Google Play Protect (можно проверить в Google Play), новый вирус не страшен. Кроме того, Google уже работает над защитой от XLoader в следующей версии Android.