McAfee ha scoperto su Google Play 25 app infette da una backdoor Android non nota denominata “Xamalicious”. Si stima che in base al numero di installazioni, queste app potrebbero aver compromesso almeno 327.000 dispositivi solo sull’app store ufficiale di Android, senza tenere conto anche delle installazioni provenienti da store di terze parti. Secondo i dati di telemetria di McAfee, i paesi maggiormente colpiti sono stati gli Stati Uniti, Germania, Spagna, Regno Unito, Australia, Brasile, Messico e Argentina. Anche l’Europa è stata interessata ma in minor misura Italia compresa.
Il flusso di installazione
Xamalicious è una backdoor Android incorporata all’interno di app sviluppate utilizzando il framework open source Xamarin basato su .NET e C# per i sistemi iOS e Android. Al momento dell’installazione, le app richiedono l’accesso al servizio di accessibilità, per eseguire azioni privilegiate, nascondere elementi sullo schermo e concedere autorizzazioni aggiuntive. Dopo l’installazione, inizia la comunicazione con il server C2 per recuperare il payload DLL di seconda fase secondo prerequisiti specifici geografici, di rete, di configurazione del dispositivo e stato di rooting. Per eludere l’analisi e il rilevamento, tutte le comunicazioni e i dati trasmessi tra C2 e il dispositivo infetto vengono crittografate.
Comandi principali
Una volta installato il malware sarebbe in grado di:
- Raccogliere informazioni sul dispositivo e sull’hardware, inclusi ID Android, marca, CPU, modello, versione del sistema operativo, lingua, dettagli su SIM e firmware (comando DevInfo);
- determinare la posizione geografica del dispositivo dal suo indirizzo IP, raccogliendo il nome dell’ISP (comando GeoInfo);
- elencare le proprietà adbProperties per accertare se il client è un dispositivo reale o un emulatore (comando EmuInfo);
- identificare lo stato di rooting (comando RootInfo);
- elencare tutte le app di sistema e di terze parti installate sul dispositivo utilizzando i comandi di sistema (comando Packages);
- riportare lo stato delle autorizzazioni dei servizi di accessibilità (comando Accessibility);
- richiedere il payload di seconda fase dal server C2 fornendo l’ID Android (comando GetURL)
Consigli
“Poiché è difficile per gli utenti gestire attivamente tutte queste minacce, consigliamo vivamente agli utenti di installare software di sicurezza sui propri dispositivi e di mantenersi sempre aggiornati“, conclude Fernando Ruiz di Mcafee Labs. Per attenuare le probabilità di infezioni da malware anche sui propri dispositivi mobili, gli utenti dovrebbero evitare di scaricare app da fonti di terze parti, leggendo attentamente le recensioni degli utenti prima dell’installazione limitandosi alle app essenziali.
McAfee ha anche trovato relazioni tra Xamalicious e un’app di frode pubblicitaria chiamata “Cash Magnet”. Pertanto, è probabile che Xamalicious effettui anche frodi pubblicitarie sui dispositivi compromessi. Tra le app con Xamalicious incorporato rilevate da McAfee e distribuite su Google Play con almeno 100.000 installazioni figurano:
- Essential Horoscope for Android
- 3D Skin Editor for PE Minecraft
- Logo Maker Pro