25 szkodliwych aplikacji na Androida mogło pobrać łącznie ponad 327 tys. osób – wylicza McAfee. I przestrzega przed nowym zagrożeniem w Sklepie Play.

Badacze z McAfee Mobile Research Team natrafili na nowy malware, który, co akurat dość typowe, dystrybuowany jest wraz z pozornie niegroźnymi aplikacjami w Sklepie Play. Xamalicious, bo o nim tu mowa, okazuje się jednak szkodnikiem o tyle perfidnym, że sam potrafi sprofilować ofiarę. A to tylko jedna z wielu jego funkcji.

Po zainstalowaniu, Xamalicious nie przystępuje do ataku od razu, a zamiast tego przesyła zgromadzone metadane do zdalnego serwera sterowania (C2). Dopiero, gdy dany użytkownik zostanie zaklasyfikowany jako cel wartościowy, dochodzi do pobrania właściwego komponentu atakującego. Ten, jak podkreślono, może być właściwie dowolny i realizować zarówno oszustwa reklamowe, jak i ataki finansowe.

Eksperci zauważają, że Xamalicious został stworzony za pomocą otwartoźródłowego środowiska Xamarin, dzięki czemu ma być trudniejszy do wykrycia dla zabezpieczeń programowych, z Google Play Protect na czele. Do tego, zainstalowany w telefonie, potrafi się bez wiedzy użytkownika aktualizować, a to z kolei pozwala na jego podmianę na dowolny inny trojan.

Aplikacje na Androida napisane w kodzie innym niż Java z frameworkami takimi jak Flutter, reagują natywnie i Xamarin mogą zapewnić dodatkową warstwę zaciemniania autorom złośliwego oprogramowania, którzy celowo wybierają te narzędzia, aby uniknąć wykrycia i starają się pozostać poza radarem dostawców zabezpieczeń i zachować swoje obecność na rynkach aplikacji

– wyjaśnia badacz bezpieczeństwa Fernando Ruiz.

Co ciekawe, w ocenie badaczy istnieją wyraźnie powiązania między Xamalicious a Cash Magnet, aplikacją oficjalnie pozwalającą na zarabianie pieniędzy w sieci dzięki klikaniu w reklamy. Jak przekonuje McAfee, obydwa narzędzia mają bardzo zbliżoną strukturę, więc prawdopodobnie stoją za nimi te same osoby.

Łącznie w Sklepie Play odnaleziono 25 aplikacji zainfekowanych rzeczonym malware'em, które wedle statystyk pobrano co najmniej 327 tys. razy. Głównie na terenie Europy i obydwu Ameryk, ale nie tylko, gdyż kampania jest w opinii badaczy ogólnoświatowa. Tytuły 13 najpopularniejszych pozycji opublikowano, reszta miała ponoć znaczenie marginalne. Oto one:

Essential Horoscope for Android (com.anomenforyou.essentialhoroscope)

3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft)

Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)

Auto Click Repeater (com.autoclickrepeater.free)

Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator)

Sound Volume Extender (com.muranogames.easyworkoutsathome)

LetterLink (com.regaliusgames.llinkgame)

NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER)

Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter)

Track Your Sleep (com.shvetsStudio.trackYourSleep)

Sound Volume Booster (com.devapps.soundvolumebooster)

Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro)

Universal Calculator (com.Potap64.universalcalculator)

McAfee zwraca uwagę, że znaczna część szkodliwych aplikacji dotyczy astrologii oraz wróżbiarstwa. Niemniej wyjątków jest sporo. Jest też m.in. software do tworzenia logo, licznik kalorii oraz kalkulator naukowy. Zatem, warto sprawdzić, czy któraś z tych aplikacji nie trafiła przypadkiem również na Twój telefon. I oczywiście szkodnika usunąć.

Źródło zdjęć: Shutterstock

Źródło tekstu: McAfee, oprac. własne