Nuovo Malware Android Xamalicious Colpisce 327.000 Dispositivi: Dati Rubati e Attacchi Finanziari
Un nuovo backdoor per Android, denominato Xamalicious dal Team di Ricerca Mobile di McAfee, è stato scoperto, mettendo a rischio oltre 327.000 dispositivi con capacità maliziose.
Sviluppato con il framework mobile open-source Xamarin, il malware sfrutta le autorizzazioni di accessibilità del sistema operativo per compiere azioni dannose.
Xamalicious è in grado di raccogliere metadati sul dispositivo compromesso e contattare un server di comando e controllo (C2) per scaricare un payload di secondo livello, ma solo dopo aver verificato se sia compatibile.
Il secondo stadio è “iniettato dinamicamente come un assembly DLL al livello di runtime per prendere il pieno controllo del dispositivo e potenzialmente compiere azioni fraudolente come cliccare su annunci, installare app, tra altre azioni a scopo finanziario senza il consenso dell’utente,” ha dichiarato il ricercatore di sicurezza Fernando Ruiz.
La società di cybersecurity ha identificato 25 app che presentano questa minaccia attiva, alcune delle quali distribuite sul Google Play Store ufficiale dal 2020. Si stima che queste app siano state installate almeno 327.000 volte.
La maggior parte delle infezioni è stata segnalata in Brasile, Argentina, Regno Unito, Australia, Stati Uniti, Messico e altre parti di Europa e Americhe. Di seguito sono elencate alcune delle app:
- Essential Horoscope for Android (com.anomenforyou.essentialhoroscope)
- 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft)
- Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)
- Auto Click Repeater (com.autoclickrepeater.free)
- Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator)
- Sound Volume Extender (com.muranogames.easyworkoutsathome)
- LetterLink (com.regaliusgames.llinkgame)
- NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER)
- Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter)
- Track Your Sleep (com.shvetsStudio.trackYourSleep)
- Sound Volume Booster (com.devapps.soundvolumebooster)
- Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro)
- Universal Calculator (com.Potap64.universalcalculator)
Xamalicious, che si maschera spesso da app di salute, giochi, oroscopi e produttività, è l’ultimo di una lunga lista di famiglie di malware che sfruttano i servizi di accessibilità di Android, richiedendo l’accesso durante l’installazione per compiere i propri compiti.
“Per evitare analisi e rilevamento, gli autori del malware hanno criptato tutte le comunicazioni e i dati trasmessi tra il C2 e il dispositivo infetto, non solo protetti da HTTPS, ma criptati come token di crittografia JSON Web Encryption (JWE) usando RSA-OAEP con un algoritmo 128CBC-HS256,” ha notato Ruiz.
Ancora più preoccupante, il dropper di primo stadio contiene funzioni per l’auto-aggiornamento del file principale del pacchetto Android (APK), il che significa che può essere usato come spyware o trojan bancario senza alcuna interazione dell’utente.
McAfee ha individuato un collegamento tra Xamalicious e un’app di frode pubblicitaria chiamata Cash Magnet, che facilita il download di app e l’attività di clicca automatici per guadagnare illegalmente attraverso annunci.
“App Android scritte in codice non-java con framework come Flutter, react native e Xamarin possono fornire uno strato aggiuntivo di oscuramento agli autori di malware che scelgono intenzionalmente questi strumenti per evitare il rilevamento e cercare di restare sotto il radar dei fornitori di sicurezza mantenendo la loro presenza sui mercati delle app,” ha affermato Ruiz.
Questa scoperta arriva mentre l’azienda di cybersecurity ha dettagliato una campagna di phishing che utilizza app di messaggistica sociale come WhatsApp per distribuire file APK fraudolenti che si fingono banche legittime come la State Bank of India (SBI) e inducono l’utente a installarli per completare una procedura obbligatoria di Know Your Customer (KYC).
Una volta installata, l’app chiede all’utente di concedere permessi relativi agli SMS e reindirizza verso una pagina falsa che non solo cattura le credenziali della vittima, ma anche informazioni sul conto, carte di credito/debito e identità nazionale.
I dati raccolti, insieme ai messaggi SMS intercettati, vengono inviati a un server controllato dall’attore, permettendo all’avversario di completare transazioni non autorizzate.
Va notato che il mese scorso Microsoft ha avvertito di una campagna simile che utilizza WhatsApp e Telegram come vettori di distribuzione per mirare agli utenti indiani di banche online.
“L’India sottolinea la grave minaccia rappresentata da questo malware bancario nel panorama digitale del paese, con pochi casi riscontrati altrove nel mondo, possibilmente da utenti SBI indiani residenti in altri paesi,” hanno dichiarato i ricercatori Neil Tyagi e Ruiz.