Новый Android-бэкдор Xamalicious проник более чем на 327 000 смартфонов

Новый бэкдор, разработанный для атак на пользователей Android-смартфонов, удивил специалистов богатым набором функциональных возможностей. Команда исследователей McAfee Mobile Research дала вредоносу имя Xamalicious.

Своё имя бэкдор получил из-за использования фреймворка для разработки мобильных приложений — Xamarin. Для корректной работы зловреду нужен доступ к специальным возможностям операционной системы (Accessibility Services).

Попав на устройство, Xamalicious может собирать метаданные о девайсе, а также связываться с командным сервером (C2) для получения дополнительных пейлоадов.

Такой пейлоад, разворачиваемый на второй стадии атаки, способен динамически внедрять DLL на уровне выполнения, что позволяет получить полный контроль над мобильным устройством и выполнять мошеннические операции (клики на рекламных объявлениях, установка приложений и пр.).

По словам команды McAfee Mobile Research, исследователи нашли в общей сложности 25 программ, к которым была привязана вредоносная составляющая. Они распространялись в Google Play Store с середины 2020 года.

По оценкам экспертов, бэкдор установили как минимум 327 тысяч раз. Вот список некоторых приложений с Xamalicious:

• Essential Horoscope for Android (com.anomenforyou.essentialhoroscope)
• 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft)
• Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)
• Auto Click Repeater (com.autoclickrepeater.free)
• Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator)
• Sound Volume Extender (com.muranogames.easyworkoutsathome)
• LetterLink (com.regaliusgames.llinkgame)
• NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER)
• Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter)
• Track Your Sleep (com.shvetsStudio.trackYourSleep)
• Sound Volume Booster (com.devapps.soundvolumebooster)
• Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro)
• Universal Calculator (com.Potap64.universalcalculator)

Бэкдор, как правило, маскируется под приложения для здоровья, игры, гороскопы, софт для продуктивности и т. п.