Cercetătorii de la McAfee au descoperit recent un nou tip de malware numit „Xamalicious” care a infectat aproximativ 338.300 de dispozitive Android, distribuit prin intermediul unor aplicații disponibile pe Google Play Store.

Virusul a fost găsit în 14 aplicații, dintre care trei au fost instalate de peste 100.000 de ori fiecare înainte de a fi retrase din magazin.

Deși Google a eliminat aceste aplicații din Play Store, utilizatorii care le-au descărcat și instalat între mijlocul anului 2020 și momentul descoperirii sunt încă vulnerabili la efectele malware-ului și sunt sfătuiți să le dezinstaleze de urgență pentru a preveni daune suplimentare.

Printre aplicațiile afectate se numără „Essential Horoscope for Android”, „3D Skin Editor for PE Minecraft” și „Logo Maker Pro”, fiecare cu aproximativ 100.000 de instalări. Alte aplicații mai puțin populare, dar infectate, sunt „Auto Click Repeater” și „Dots: One Line Connector”.

Cum funcționează virusul

Xamalicious, care funcționează ca un backdoor pe dispozitivele Android, utilizează tehnologia.NET și este construit folosind platforma open-source Xamarin, ceea ce îi conferă capacitatea de a se integra cu ușurință în aplicațiile legitime fără a fi ușor detectat de instrumentele standard de securitate. Odată instalat, acesta solicită accesul la Serviciul de Accesibilitate al dispozitivului, permițându-i să execute coduri fără permisiunea utilizatorului, să ascundă elemente pe ecran și să obțină acces privilegiat la funcțiile sistemului.

Malware-ul inițiază comunicări cu un server de comandă și control pentru a descărca componente suplimentare, bazându-se pe anumite criterii cum ar fi locația dispozitivului, conexiunea la rețea și configurația hardware pentru a determina dacă dispozitivul este o țintă potrivită.

În plus, pe lângă aplicațiile de pe Play Store, Xamalicious a fost găsit și în alte 12 aplicații disponibile pe magazine neoficiale, accentuând riscul instalării de aplicații din surse neautorizate.

