Невідомий раніше бекдор для Android під назвою “Xamalicious” заразив близько 338 300 пристроїв через шкідливі програми в Google Play, офіційному магазині програм для Android.
Компанія McAfee, що входить до App Defense Alliance, виявила 14 заражених програм у Google Play, причому три з них мали по 100 000 установок.
Незважаючи на те, що програми вже видалені з Google Play, користувачі, які встановили їх з середини 2020 року, можуть мати на своїх телефонах активні Xamalicious-інфекції, що вимагають ручного сканування та очищення.
Найбільш популярними з додатків Xamalicious є такі:
Крім того, окремий набір з 12 шкідливих програм, що несуть загрозу Xamalicious, статистика завантажень яких недоступна, поширюється в неофіційних сторонніх магазинах програм, заражаючи користувачів через завантажувані файли APK (пакет для Android).
Згідно з даними телеметрії McAfee, більшість заражень було встановлено на пристроях у США, Німеччині, Іспанії, Великій Британії, Австралії, Бразилії, Мексиці та Аргентині.
Backdoor Xamalicious для Android
Xamalicious – це Android-бекдор на базі .NET, вбудований (у вигляді ‘Core.dll’ та ‘GoogleService.dll’) у додатки, розроблені з використанням відкритого фреймворку Xamarin, що ускладнює аналіз його коду.
Після встановлення він запитує доступ до служби Accessibility Service, що дозволяє виконувати такі привілейовані дії, як навігаційні жести, приховувати екранні елементи і надавати собі додаткові дозволи.
Після встановлення він зв’язується з сервером C2 (command and control) для отримання корисного навантаження DLL другого рівня (cache.bin), якщо дотримані певні умови географічного положення, мережі, конфігурації пристрою і статусу root.
Шкідлива програма здатна виконувати такі команди:
McAfee також виявила зв’язок між Xamalicious та додатком для шахрайства з рекламою під назвою “Cash Magnet”, яка автоматично натискає на рекламу та встановлює рекламне програмне забезпечення на пристрій жертви, щоб принести дохід своїм операторам.
Тому не виключено, що Xamalicious також займається рекламним шахрайством на заражених пристроях, знижуючи продуктивність процесора та пропускну спроможність мережі.
Хоча Google Play не застрахований від завантаження шкідливих програм, такі ініціативи, як App Defense Alliance, спрямовані на виявлення та видалення нових загроз, що з’являються в магазині додатків, чого не можна сказати про неофіційні платформи, що погано модеруються.
Користувачам Android слід уникати завантаження програм із сторонніх джерел, обмежуватися лише основними програмами, уважно читати відгуки користувачів перед встановленням та проводити всебічну перевірку розробника/видавця програми, щоб обмежити зараження своїх мобільних пристроїв шкідливим програмним забезпеченням.