Аналитики из компании McAfee выявили новый вредоносный бэкдор для Android, получивший название Xamalicious . По информации специалистов, он был разработан на основе открытой мобильной платформы Xamarin и использует разрешения доступа в операционной системе для достижения своих целей.
Xamalicious собирает метаданные о системе и связывается с командным сервером для получения вторичной вредоносной нагрузки. Но сначала программа проверяет, подходит ли устройство злоумышленникам для их мошеннических операций. Второй вредоносный модуль внедряется незаметно в виде DLL-библиотеки и позволяет хакерам получить полный доступ и контроль над зараженным смартфоном.
После захвата контроля бэкдор может тайно выполнять различные мошеннические действия: имитировать клики по рекламе, устанавливать приложения без ведома пользователя, собирать конфиденциальные данные и другие команды, позволяющие получать незаконную прибыль.
Специалисты McAfee выявили 25 приложений с активной угрозой Xamalicious. Некоторые из них распространялись через официальный магазин Google Play с середины 2020 года и были установлены более 327 000 раз. Среди зараженных программ есть как популярные приложения для гороскопов и гаданий, так и утилиты для настройки звука, калькуляторы, счетчики шагов и другие повседневные инструменты.
| Package Name | App Name | Installs |
| com.anomenforyou.essentialhoroscope | Essential Horoscope for Android | 100,000 |
| com.littleray.skineditorforpeminecraft | 3D Skin Editor for PE Minecraft | 100,000 |
| com.vyblystudio.dotslinkpuzzles | Logo Maker Pro | 100,000 |
| com.autoclickrepeater.free | Auto Click Repeater | 10,000 |
| com.lakhinstudio.counteasycaloriecalculator | Count Easy Calorie Calculator | 10,000 |
| com.muranogames.easyworkoutsathome | Sound Volume Extender | 5,000 |
| com.regaliusgames.llinkgame | LetterLink | 1,000 |
| com.Ushak.NPHOROSCOPENUMBER | NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS | 1,000 |
| com.browgames.stepkeepereasymeter | Step Keeper: Easy Pedometer | 500 |
| com.shvetsStudio.trackYourSleep | Track Your Sleep | 500 |
| com.devapps.soundvolumebooster | Sound Volume Booster | 100 |
| com.Osinko.HoroscopeTaro | Astrological Navigator: Daily Horoscope & Tarot | 100 |
| com.Potap64.universalcalculator | Universal Calculator | 100 |
Для сокрытия своей активности преступники тщательно шифруют всю связь между зараженным устройством и командным сервером. Помимо HTTPS-шифрования, используется JSON Web Encryption с алгоритмом RSA-OAEP.
Согласно заявлению McAfee, была установлена связь между вредоносной программой Xamalicious и приложением Cash Magnet, предназначенным для мошенничества с интернет-рекламой. Cash Magnet используется для массовых скачиваний приложений и имитации кликов по баннерам.
По словам исследователей McAfee, использование нестандартных языков и фреймворков, таких как Flutter, React Native и Xamarin, помогает разработчикам вредоносов оставаться незамеченными. Компания Google заверила, что технологии Play Protect защищают пользователей Android как в магазине приложений, так и за его пределами.
Если приложение с этой угрозой уже было установлено, владелец смартфона получит предупреждение, и оно будет автоматически удалено с устройства. Попытка установки будет заблокирована на стадии проверки.
С заботой о вашей безопасности, команда Origin Security
