Se hace pasar por aplicaciones de salud, juegos, horóscopos y productividad
Se ha descubierto una nueva puerta trasera de Android con potentes capacidades para llevar a cabo una serie de acciones maliciosas en dispositivos infectados.
Apodado Xamalicious por el equipo de investigación móvil de McAfee, el malware recibe su nombre por el hecho de que se desarrolla utilizando un marco de aplicación móvil de código abierto llamado Xamarin y abusa de los permisos de accesibilidad del sistema operativo para cumplir sus objetivos.
También es capaz de recopilar metadatos sobre el dispositivo comprometido y ponerse en contacto con un servidor de comando y control (C2) para obtener una carga útil de segunda etapa, pero solo después de determinar si se ajusta a los requisitos.
La segunda etapa se "inyecta dinámicamente como una DLL de ensamblaje en el nivel de tiempo de ejecución para tomar el control total del dispositivo y potencialmente realizar acciones fraudulentas como hacer clic en anuncios, instalar aplicaciones, entre otras acciones con motivación financiera sin el consentimiento del usuario", dijo el investigador de seguridad Fernando Ruiz.
La firma de ciberseguridad dijo que identificó 25 aplicaciones que vienen con esta amenaza activa, algunas de las cuales se distribuyeron en la tienda oficial Google Play Store desde mediados de 2020. Se estima que las aplicaciones se instalaron al menos 327.000 veces.
La mayoría de las infecciones se han reportado en Brasil, Argentina, el Reino Unido, Australia, Estados Unidos, México y otras partes de Europa y América. Algunas de las aplicaciones se enumeran a continuación:
• Essential Horoscope for Android (com.anomenforyou.essentialhoroscope)
• 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft)
• Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)
• Auto Click Repeater (com.autoclickrepeater.free)
• Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator)
• Sound Volume Extender (com.muranogames.easyworkoutsathome)
• LetterLink (com.regaliusgames.llinkgame)
• NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER)
• Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter)
• Track Your Sleep (com.shvetsStudio.trackYourSleep)
• Sound Volume Booster (com.devapps.soundvolumebooster)
• Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro)
• Universal Calculator (com.Potap64.universalcalculator)
Xamalicious, que normalmente se hace pasar por aplicaciones de salud, juegos, horóscopos y productividad, es la última de una larga lista de familias de malware que abusan de los servicios de accesibilidad de Android y solicitan a los usuarios acceso al mismo durante la instalación para realizar sus tareas.
"Para evadir el análisis y la detección, los autores de malware cifraron todas las comunicaciones y datos transmitidos entre el C2 y el dispositivo infectado, no sólo protegidos por HTTPS, está cifrado como un token JSON Web Encryption (JWE) utilizando RSA-OAEP con un algoritmo 128CBC-HS256", señaló Ruiz.
Aún más preocupante es que el cuentagotas de la primera etapa contiene funciones para actualizar automáticamente el archivo del paquete principal de Android (APK), lo que significa que puede usarse como arma para actuar como software espía o troyano bancario sin ninguna interacción del usuario.
McAfee dijo que identificó un vínculo entre Xamalicious y una aplicación de fraude publicitario llamada Cash Magnet, que facilita la descarga de aplicaciones y la actividad automática de clics para obtener ingresos ilícitos al hacer clic en los anuncios.
"Las aplicaciones de Android escritas en código que no es Java con marcos como Flutter, React Native y Xamarin pueden proporcionar una capa adicional de ofuscación para los autores de malware que eligen intencionalmente estas herramientas para evitar la detección y tratan de permanecer fuera del radar de los proveedores de seguridad y mantener su presencia en los mercados de aplicaciones", dijo Ruiz.
