Una puerta trasera de Android previamente desconocida llamada 'Xamalicious' ha infectado aproximadamente 338,300 dispositivos a través de aplicaciones maliciosas en Google Play, la tienda oficial de aplicaciones de Android.
McAfee, miembro de App Defense Alliance, descubrió 14 aplicaciones infectadas en Google Play, tres de las cuales tenían 100,000 instalaciones cada una.
Aunque las aplicaciones se eliminaron de Google Play, los usuarios que las instalaron aún pueden tener infecciones Xamalicious activas en sus teléfonos, lo que requiere análisis y limpieza manuales.
Las más populares de las aplicaciones Xamalicious son las siguientes:
- Horóscopo Esencial para Android – 100,000 instalaciones
- Editor de máscaras 3D para PE Minecraft – 100,000 instalaciones
- Logo Maker Pro – 100,000 instalaciones
- Repetidor de clic automático : 10,000 instalaciones
- Calculadora fácil de contar calorías : 10,000 instalaciones
- Puntos: conector de una línea : 10,000 instalaciones
- Extensor de volumen de sonido : 5,000 instalaciones
Además, un conjunto separado de 12 aplicaciones maliciosas que llevan la amenaza Xamalicious, para las cuales no hay estadísticas de descarga disponibles, se distribuyen en tiendas de aplicaciones de terceros no oficiales, infectando a los usuarios a través de archivos APK (paquetes de Android) descargables.
Fuente: McAfee
Según los datos de telemetría de McAfee, la mayoría de las infecciones se instalaron en dispositivos de Estados Unidos, Alemania, España, Reino Unido, Australia, Brasil, México y Argentina.
La puerta trasera de Android Xamalicious
Xamalicious es una puerta trasera de Android basada en .NET integrada (en forma de 'Core.dll' y 'GoogleService.dll') dentro de aplicaciones desarrolladas utilizando el marco de código abierto Xamarin, lo que hace que el análisis de su código sea más desafiante.
Tras la instalación, solicita acceso al Servicio de Accesibilidad, lo que le permite realizar acciones privilegiadas como gestos de navegación, ocultar elementos en pantalla y otorgarse permisos adicionales.
Fuente: McAfee
Después de la instalación, se comunica con el servidor C2 (comando y control) para recuperar la carga útil de la DLL de segunda etapa ('cache.bin') si se cumplen requisitos previos específicos geográficos, de red, de configuración del dispositivo y de estado raíz.
Fuente: McAfee
El malware es capaz de ejecutar los siguientes comandos:
- DevInfo : recopila información del dispositivo y del hardware, incluido el ID de Android, la marca, la CPU, el modelo, la versión del sistema operativo, el idioma, el estado de las opciones de desarrollador, los detalles de la tarjeta SIM y el firmware.
- GeoInfo : determina la ubicación geográfica del dispositivo utilizando su dirección IP, recopilando el nombre del ISP, la organización, los servicios y una puntuación de fraude para detectar usuarios no genuinos.
- EmuInfo : enumera adbProperties para determinar si el cliente es un dispositivo real o un emulador, verificando la CPU, la memoria, los sensores, la configuración de USB y el estado de ADB.
- RootInfo : identifica si el dispositivo está rooteado mediante varios métodos y proporciona el estado de rooteo.
- Paquetes : enumera todas las aplicaciones del sistema y de terceros instaladas en el dispositivo mediante comandos del sistema.
- Accesibilidad : informa el estado de los permisos de los servicios de accesibilidad.
- GetURL : solicita la carga útil de la segunda etapa del servidor C2 proporcionando el ID de Android y recibe el estado y potencialmente una DLL de ensamblaje cifrada.
McAfee también encontró vínculos entre Xamalicious y una aplicación de fraude publicitario llamada 'Cash Magnet', que automáticamente hace clic en anuncios e instala adware en el dispositivo de la víctima para generar ingresos para sus operadores.
Por lo tanto, es posible que Xamalicious también realice fraude publicitario en dispositivos infectados, disminuyendo el rendimiento del procesador y el ancho de banda de la red.
Aunque Google Play no es inmune a las cargas de malware, iniciativas como App Defense Alliance tienen como objetivo detectar y eliminar nuevas amenazas que aparecen en la tienda de aplicaciones, lo que no ocurre en plataformas no oficiales y mal moderadas.
Los usuarios de Android deben evitar descargar aplicaciones de fuentes de terceros, limitarse a aplicaciones esenciales, leer detenidamente las reseñas de los usuarios antes de la instalación y realizar una verificación exhaustiva de antecedentes del desarrollador/editor de la aplicación para limitar las infecciones de malware en sus dispositivos móviles.
