Una nuova backdoor Android, denominata “Xamalicious”, ha infettato circa 338.300 dispositivi tramite app dannose su Google Play. La società di sicurezza McAfee ha scoperto 14 app infette su Google Play, di cui tre con più di 100.000 installazioni ciascuna. Le app sono già state rimosse da Google Play. Tuttavia, gli utenti che le hanno installate dalla metà del 2020 potrebbero ancora avere infezioni Xamalicious attive sui loro dispositivi. Tra le app più popolari che includevano Xamalicious vi sono: Essential Horoscope for Android, 3D Skin Editor for PE Minecraft e Logo Maker Pro (100.000 installazioni per app), Auto Click Repeater, Count Easy Calorie Calculator, Dots: One Line Connector (10.000 installazioni per app) e Sound Volume Extender (5.000 installazioni). Inoltre, un set separato di 12 app dannose con la minaccia Xamalicious viene distribuito su app store di terze parti non ufficiali, infettando gli utenti tramite file APK (pacchetto Android) scaricabili.
Xamalicious: come funziona l’attacco alle app Android
Il ransomware Xamalicious è una backdoor Android basata su .NET incorporata all'interno di app sviluppate utilizzando il framework open source Xamarin (sotto forma di “Core.dll” e “GoogleService.dll”). Ciò rende l'analisi del suo codice più impegnativa. Al momento dell'installazione, richiede l'accesso al servizio di accessibilità, consentendogli di eseguire azioni privilegiate come nascondere elementi sullo schermo e concedersi autorizzazioni aggiuntive. Dopo l'installazione, il malware comunica con il server C2 (comando e controllo) per recuperare il payload DLL di seconda fase (“cache.bin”), se sono soddisfatti i prerequisiti specifici geografici, di rete, di configurazione del dispositivo e di stato root. Il malware è in grado di eseguire diversi comandi, come DevInfo, che raccoglie informazioni sul dispositivo e sull'hardware. Vi sono poi GeoInfo, che determina la posizione del dispositivo utilizzando l’indirizzo IP, EmuInfo, che scopre se il client è un dispositivo reale o un emulatore e RootInfo, che identifica se il dispositivo è rootato.
McAfee ha anche trovato collegamenti tra Xamalicious e un'app di truffa pubblicitaria chiamata “Cash Magnet”. Questa apre automaticamente gli annunci e installa adware sul dispositivo della vittima per generare entrate per i suoi operatori. È quindi possibile che anche Xamalicious effettui frodi di questo tipo sfruttando i dispositivi infetti. Google Play non è immune ai caricamenti di malware. Gli utenti Android dovrebbero quindi evitare di scaricare app da fonti di terze parti e limitarsi alle app essenziali. Infine, è sempre consigliato leggere attentamente le recensioni degli utenti ed eseguire un controllo approfondito sullo sviluppatore/editore dell'app. Ciò potrebbe contribuire a limitare le infezioni da malware sui propri dispositivi mobili.