Malware Android XLoader si esegue in automatico su device infetti

I ricercatori di McAfee hanno scoperto una nuova versione del malware Android XLoader. Questa viene eseguita automaticamente sui dispositivi che infetta, senza richiedere l'interazione dell'utente per l'avvio. XLoader, alias MoqHao, è un malware Android gestito e probabilmente creato da un attore di minacce motivato finanziariamente denominato "Roaming Mantis". Questo gruppo di hacker ha già preso di mira utenti negli Stati Uniti, Regno Unito, Germania, Francia, Giappone, Corea del Sud e Taiwan. Gli aggressori distribuiscono il malware tramite SMS contenente un URL (breve) che reindirizza a un sito che fornisce un file di installazione APK Android. McAfee riferisce che le recenti varianti di XLoader dimostrano la capacità di avviarsi automaticamente dopo l'installazione. Ciò consente al malware di funzionare di nascosto in background e di sottrarre, tra le altre cose, informazioni sensibili sull'utente.

Android XLoader: come avviene l’infezione del malware

McAfee, partner dell'App Defense Alliance di Android, ha dichiarato che “mentre l'app è installata, la loro attività dannosa si avvia automaticamente”. La società ha già segnalato questa tecnica a Google e Big G sta già lavorando all'implementazione di mitigazioni per impedire questo tipo di esecuzione automatica in una futura versione di Android. Per offuscare ulteriormente l'app dannosa, Roaming Mantis utilizza stringhe Unicode per mascherare gli APK dannosi come software legittimo, in particolare il browser web Chrome. Questa imitazione è vitale per il passaggio successivo. Questo consiste nell'ingannare l'utente inducendolo ad approvare autorizzazioni rischiose sul dispositivo, come l'invio e l'accesso a contenuti SMS, e a consentirgli di “funzionare sempre in background” aggiungendo un'esclusione dall'ottimizzazione della batteria di Android. La falsa app Chrome chiede inoltre all'utente di impostarsi come app SMS predefinita, sostenendo che così facendo si aiuterà a prevenire lo spam.

La recente iterazione di XLoader crea canali di notifica per eseguire attacchi di phishing personalizzati sul dispositivo. Estrae messaggi di phishing e URL di destinazione dai profili Pinterest. Ciò probabilmente per eludere il rilevamento da parte degli strumenti di sicurezza. Se ciò fallisce, XLoader torna a utilizzare messaggi di phishing codificati che avvisano l'utente di un problema con il proprio conto bancario. Inoltre, il malware può eseguire un'ampia gamma di comandi (20 in totale) ricevuti dal suo server di comando e controllo (C2) tramite il protocollo WebSocket. Tra questi vi sono: get_photo, getSmsKW, sendSms, gcont, getPhoneState e http. McAfee avverte che le varianti più recenti di XLoader possono essere particolarmente efficaci poiché richiedono un'interazione minima da parte dell'utente. Considerando che il malware si veste da Chrome, McAfee suggerisce di utilizzare un antivirus in grado di scansionare il dispositivo e sradicare le minacce in base a indicatori noti.