Er is een nieuwe Android-achterdeur ontdekt met krachtige mogelijkheden om een reeks kwaadaardige acties uit te voeren op geïnfecteerde apparaten.
Nagesynchroniseerd Xamalicious Door het McAfee Mobile Research Team is de malware zo genoemd vanwege het feit dat deze is ontwikkeld met behulp van een open-source raamwerk voor mobiele apps genaamd Xamarin en misbruik maakt van de toegankelijkheidsrechten van het besturingssysteem om zijn doelstellingen te verwezenlijken.
Het is ook in staat om metagegevens over het aangetaste apparaat te verzamelen en contact op te nemen met een command-and-control (C2)-server om een tweede fase-payload op te halen, maar alleen nadat is vastgesteld of dit voldoet.
De tweede fase wordt “dynamisch geïnjecteerd als een assemblage-DLL op runtime-niveau om de volledige controle over het apparaat te krijgen en mogelijk frauduleuze acties uit te voeren, zoals het klikken op advertenties, het installeren van apps en andere financieel gemotiveerde acties zonder toestemming van de gebruiker”, aldus beveiligingsonderzoeker Fernando Ruiz. .
Het cyberbeveiligingsbedrijf zei dat het 25 apps heeft geïdentificeerd die met deze actieve dreiging gepaard gaan, waarvan sommige sinds medio 2020 via de officiële Google Play Store worden verspreid. De apps zijn naar schatting minstens 327.000 keer geïnstalleerd.
Het merendeel van de infecties is gemeld in Brazilië, Argentinië, het VK, Australië, de VS, Mexico en andere delen van Europa en Amerika. Enkele van de apps worden hieronder vermeld –
- Essentiële horoscoop voor Android (com.anomenforyou.essentialhoroscope)
- 3D Skin-editor voor PE Minecraft (com.littleray.skineditorforpeminecraft)
- Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)
- Auto Click Repeater (com.autoclickrepeater.free)
- Tel eenvoudige caloriecalculator (com.lakhinstudio.counteasycaloriecalculator)
- Geluidsvolume-uitbreider (com.muranogames.easyworkoutsathome)
- LetterLink (com.regaliusgames.llinkgame)
- NUMEROLOGIE: PERSOONLIJKE HOROSCOOP & AANTAL VOORSPELLINGEN (com.Ushak.NPHOROSCOPENUMBER)
- Step Keeper: eenvoudige stappenteller (com.browgames.stepkeepereasymeter)
- Houd uw slaap bij (com.shvetsStudio.trackYourSleep)
- Geluidsvolumeversterker (com.devapps.soundvolumebooster)
- Astrologische Navigator: Dagelijkse Horoscoop & Tarot (com.Osinko.HoroscopeTaro)
- Universele rekenmachine (com.Potap64.universalcalculator)
Xamalicious, dat zich doorgaans voordoet als gezondheids-, games-, horoscoop- en productiviteits-apps, is de nieuwste in een lange lijst van malwarefamilies die misbruik maken van de toegankelijkheidsdiensten van Android en bij de installatie om toegang van gebruikers vragen om hun taken uit te voeren.
“Om analyse en detectie te omzeilen, hebben malware-auteurs alle communicatie en gegevens die tussen de C2 en het geïnfecteerde apparaat worden verzonden, gecodeerd, niet alleen beschermd door HTTPS, maar ook gecodeerd als een JSON Web Encryption (JWE)-token met behulp van RSA-OAEP met een 128CBC-HS256-algoritme ’, merkte Ruiz op.
Nog verontrustender is dat de dropper in de eerste fase functies bevat om het hoofdbestand van het Android-pakket (APK) zelf bij te werken, wat betekent dat het kan worden ingezet om als spyware of banktrojan te fungeren zonder enige gebruikersinteractie.
McAfee zei dat het een verband heeft geïdentificeerd tussen Xamalicious en een app voor advertentiefraude genaamd Cash Magnet, die het downloaden van apps en geautomatiseerde clickeractiviteiten mogelijk maakt om illegaal inkomsten te genereren door op advertenties te klikken.
“Android-applicaties geschreven in niet-Java-code met frameworks als Flutter, Reageer Native en Xamarin kunnen een extra laag van verduistering bieden aan malware-auteurs die opzettelijk deze tools kiezen om detectie te voorkomen en proberen onder de radar van beveiligingsleveranciers te blijven en hun identiteit te behouden.” aanwezigheid op de apps-markt”, aldus Ruiz.
Phishing-campagne voor Android richt zich op India met bankier-malware
De onthulling komt op het moment dat het cyberbeveiligingsbedrijf een phishing-campagne heeft uitgewerkt waarbij sociale berichten-apps zoals WhatsApp worden gebruikt om malafide APK-bestanden te verspreiden die zich voordoen als legitieme banken zoals de State Bank of India (SBI) en de gebruiker vragen deze te installeren om een verplichte Know Your Klantprocedure (KYC).
Eenmaal geïnstalleerd, vraagt de app de gebruiker om sms-gerelateerde toestemmingen te verlenen en wordt hij doorverwezen naar een neppagina die alleen de inloggegevens van het slachtoffer vastlegt, maar ook zijn account-, creditcard-/betaalkaart- en nationale identiteitsgegevens.
De verzamelde gegevens worden, samen met de onderschepte sms-berichten, doorgestuurd naar een door een actor bestuurde server, waardoor de tegenstander ongeautoriseerde transacties kan voltooien.
Het is vermeldenswaard dat Microsoft vorige maand waarschuwde voor een soortgelijke campagne waarbij WhatsApp en Telegram worden gebruikt als distributievectoren om zich te richten op Indiase gebruikers van online bankieren.
“India onderstreept de acute dreiging die deze bankmalware vormt binnen het digitale landschap van het land, met een paar treffers elders in de wereld, mogelijk van Indiase SBI-gebruikers die in andere landen wonen”, aldus onderzoekers Neil Tyagi en Ruiz.
