Команда McAfee Mobile Research виявила в Google Play і сторонніх магазинах додатків програми, заражені шкідливим ПЗ, що отримало назву Xamalicious, тому що воно «реалізовано за допомогою Xamarin, платформи з відкритим вихідним кодом, яка дозволяє створювати програми для Android та iOS за допомогою .NET і C#».
Після встановлення шкідливий додаток «намагається отримати права доступу за допомогою соціальної інженерії, а потім зв’язується з сервером управління та контролю, щоб оцінити, чи слід завантажувати корисне навантаження другого етапу». Якщо корисне навантаження другого рівня встановлено, воно може отримати повний контроль над вашим пристроєм, а це означає, що він потенційно може виконувати будь-які дії, такі як шпигунське ПЗ або банківський троян, без взаємодії з користувачем, – говорить Макафі.
Програми також можуть виконувати такі дії, як інсталяція інших програм або натискання на рекламу без вашої згоди. Наприклад, програма Cash Magnet автоматично кликає по рекламі та встановлює програми для шахрайського отримання доходу; Користувачі думають, що вони заробляють бали, які можна обміняти на роздрібні подарункові картки.
Це означає, що розробники цих загроз фінансово мотивовані та сприяють шахрайству з рекламою, тому це може бути одним із основних корисних навантажень Xamalicious, — каже Макафі.
McAfee виявила 25 програм, що містять загрозу, 13 з яких були поширені в Google Play, деякі ще в 2020 році. У ньому наголошується, що «використання платформи Xamarin дозволяло авторам шкідливих програм залишатися активними та непоміченими протягом тривалого часу, беручи до уваги Перевагу процесу збирання APK-файлів, який працював як пакувальник та приховував шкідливий код.
Автори шкідливих програм також реалізували різні методи обфускації та власне шифрування для крадіжки даних та зв’язку із сервером управління, – додає Макафі.
За оцінками McAfee, програми потенційно зламали 327 000 пристроїв з Google Play, а також будь-які завантаження, зроблені зі сторонніх ринків. Найбільша активність Xamalicious була виявлена у США, Бразилії та Аргентині, хоча випадки зараження також були зареєстровані у Великій Британії, Іспанії та Німеччині.
Google видалив програми з Google Play після того, як McAfee повідомив про них. Але є можливість, що вони все ще встановлені на вашому пристрої. Якщо це так, вам слід негайно видалити їх. Ось повний список програм (і назв їх пакетів), які колись були в Google Play, і кількість завантажень, які вони отримали.
-
Essential Horscope для Android (om.anomenforyou.essentialhorscope) – 100 000 завантажень
-
Редактор 3D-скінів для PE Minecraft (com.littleray.skineditorforpeminecraft) – 100 000
-
Logo Maker Pro (com.vyblystudio.dotslinkpuzzles) – 100 000
-
Автоматичний повторювач кліків (com.autoclickrepeater.free) – 10 000
-
Простий калькулятор калорій (com.lakhinstudio.counteasyculturalcalculator) – 10 000
-
Розширювач гучності звуку (com.muranogames.easyworkoutsathome) – 5,000
-
LetterLink ( com.regaliusgames.llinkgame) – 1000
-
НУМЕРОЛОГІЯ: ОСОБИСТИЙ ГОРОСКОП І ЛІКАРСЬКІ ПЕРЕДМОВА (com.Ushak.NPHOROSCOPENUMBER) – 1000
-
Step Keeper: Easy Шагомер (com.browgames.stepkeepereasymeter) – 500
-
Слідкуйте за своїм соном (com.shvetsStudio.trackYourSleep) – 500
-
Підсилювач гучності звуку (com.devapps.soundvolumebooster) – 100
-
Астрологічний навігатор: Щоденний гороскоп та Таро (com.Osinko.HorscopeTaro) – 100
-
Універсальний калькулятор (com.Potap64.universalcalculator) – 100