Android-малварь Xamalicious скачали из Google Play 330 000 раз - «Новости»

  • 10:30, 07-янв-2024
  • Новости / Изображения / Преимущества стилей / Линии и рамки / Видео уроки / Текст / Вёрстка
  • Аким
  • 0

Исследователи McAfee обнаружили в официальном магазине Google Play новый бэкдор для Android, получивший название Xamalicious. В общей сложности было найдено более 10 зараженных малварью приложений, три из которых насчитывали более 100 000 установок.


Помимо этого сообщается, что еще 12 приложений, содержащих Xamalicious, распространяются через сторонние каталоги приложений, и статистика загрузок для них неизвестна.


Хотя в настоящее время все вредоносные приложения удалены из Google Play, устройства пользователей, устанавливавших их с середины 2020 года, по-прежнему могут были заражены Xamalicious, и удаление малвари потребует проведение ручного сканирования и очистки.











































































ПакетНазвание приложенияКоличество установок
com.anomenforyou.essentialhoroscopeEssential Horoscope for Android     100 000
com.littleray.skineditorforpeminecraft3D Skin Editor for PE Minecraft     100 000
com.vyblystudio.dotslinkpuzzlesLogo Maker Pro     100 000
com.autoclickrepeater.freeAuto Click Repeater        10 000
com.lakhinstudio.counteasycaloriecalculatorCount Easy Calorie Calculator        10 000
com.muranogames.easyworkoutsathomeSound Volume Extender          5000
com.regaliusgames.llinkgameLetterLink          1000
com.Ushak.NPHOROSCOPENUMBERNUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS          1000
com.browgames.stepkeepereasymeterStep Keeper: Easy Pedometer              500
com.shvetsStudio.trackYourSleepTrack Your Sleep              500
com.devapps.soundvolumeboosterSound Volume Booster              100
com.Osinko.HoroscopeTaroAstrological Navigator: Daily Horoscope & Tarot              100
com.Potap64.universalcalculatorUniversal Calculator              100

Согласно телеметрии McAfee, большинство зараженных устройств находятся в США, Германии, Испании, Великобритании, Австралии, Бразилии, Мексике и Аргентине.


Xamalicious представляет собой Android-бэкдор на базе .NET, встроенный (в виде Core.dll и GoogleService.dll) в приложения, разработанные с использованием опенсорсного фреймворка Xamarin, что заметно усложняет анализ кода.


После установки малварь хитростью выпрашивает у пользователя доступ к службе Accessibility Service, что позволяет ей пользоваться жестами навигации, скрывать экранные элементы и предоставлять себе дополнительные разрешения.



Запрос прав Accessibility Service

Хуже того, исследователи пишут, что дроппер первого этапа содержит функции для самостоятельного обновления APK, то есть может использоваться в качестве шпионского ПО или банковского трояна без какого-либо вмешательства пользователя.


После установки вредонос связывается с управляющим сервером для получения полезной нагрузки второго этапа (cache.bin). Однако это происходит лишь при соблюдении ряда условий, включая географическое положение жертвы,  конфигурацию устройства и root-доступ.


В целом Xamalicious может выполнять следующие команды:



  • DevInfo — собирает информацию об устройстве и аппаратном обеспечении, включая Android ID, данные о модели девайса, его процессоре, версии ОС, языке, статусе разработчика, сведения о SIM-карте и прошивке;

  • GeoInfo — определяет географическое положение устройства по IP-адресу, собирает информацию об интернет-провайдере, организации, услугах, а также проверяет fraud score для выявления ненастоящих пользователей;

  • EmuInfo — составляет список adbProperties, чтобы определить, является ли жертва реальным устройством или эмулятором, проверяет процессор, память, сенсоры, конфигурацию USB и статус ADB;

  • RootInfo — определяет, рутовано ли устройство и сообщает root-статус;

  • Packages — перечисляет все системные и сторонние приложения, установленные на устройстве;

  • Accessibility — сообщает о разрешениях в Accessibility Services;

  • GetURL — запрашивает полезную нагрузку второго этапа с управляющего сервера, указывая Android ID, получая в ответ статус и зашифрованную DLL.



Коммуникации Xamalicious с управляющим сервером

Кроме того, исследователи McAfee обнаружили связь между Xamalicious и мошенническим рекламным приложением Cash Magnet, которое автоматически кликает по рекламе и устанавливает рекламную малварь на устройства жертв. Поэтому не исключено, что Xamalicious тоже занимается рекламным мошенничеством на зараженных девайсах, оттягивая на себя ресурсы процессора и нагружая сеть.


Исследователи McAfee обнаружили в официальном магазине Google Play новый бэкдор для Android, получивший название Xamalicious. В общей сложности было найдено более 10 зараженных малварью приложений, три из которых насчитывали более 100 000 установок. Помимо этого сообщается, что еще 12 приложений, содержащих Xamalicious, распространяются через сторонние каталоги приложений, и статистика загрузок для них неизвестна. Хотя в настоящее время все вредоносные приложения удалены из Google Play, устройства пользователей, устанавливавших их с середины 2020 года, по-прежнему могут были заражены Xamalicious, и удаление малвари потребует проведение ручного сканирования и очистки. Пакет Название приложения Количество установок com.anomenforyou.essentialhoroscope Essential Horoscope for Android 100 000 com.littleray.skineditorforpeminecraft 3D Skin Editor for PE Minecraft 100 000 com.vyblystudio.dotslinkpuzzles Logo Maker Pro 100 000 com.autoclickrepeater.free Auto Click Repeater 10 000 com.lakhinstudio.counteasycaloriecalculator Count Easy Calorie Calculator 10 000 com.muranogames.easyworkoutsathome Sound Volume Extender 5000 com.regaliusgames.llinkgame LetterLink 1000 com.Ushak.NPHOROSCOPENUMBER NUMEROLOGY: PERSONAL HOROSCOPE

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!