Los investigadores de McAfee han descubierto una nueva puerta trasera para Android en la tienda oficial de Google Play, llamada Xamalicioso. En total se encontraron más de 10 aplicaciones infectadas con malware, tres de las cuales tenían más de 100.000 instalaciones.
Además, se informa que otras 12 aplicaciones que contienen Xamalicious se distribuyen a través de directorios de aplicaciones de terceros y se desconocen las estadísticas de descarga de ellas.
Aunque todas las aplicaciones maliciosas ya se han eliminado de Google Play, los dispositivos de los usuarios que las instalaron desde mediados de 2020 aún pueden estar infectados con Xamalicious, y eliminar el malware requerirá escaneo y limpieza manuales.
| Paquete | Nombre de la aplicación | Número de instalaciones |
| com.anomenforyou.horóscopo esencial | Horóscopo Esencial para Android | 100 000 |
| com.littleray.skineditorforpeminecraft | Editor de máscaras 3D para PE Minecraft | 100 000 |
| com.vyblystudio.dotslinkpuzzles | Creador de logotipos profesional | 100 000 |
| com.autoclickrepeater.gratis | Repetidor de clic automático | 10 000 |
| com.lakhinstudio.counteasycalculadora de calorías | Calculadora fácil de contar calorías | 10 000 |
| com.muranogames.easyworkoutsathome | Extensor de volumen de sonido | 5000 |
| com.regaliusgames.llinkgame | CartaEnlace | 1000 |
| com.Ushak.NPHOROSCOPENUMBER | NUMEROLOGÍA: HORÓSCOPO PERSONAL Y PREDICCIONES DE NÚMEROS | 1000 |
| com.browgames.stepkeepereasymeter | Guardián de pasos: podómetro fácil | 500 |
| com.shvetsStudio.trackYourSleep | Sigue tu sueño | 500 |
| com.devapps.soundvolumebooster | Amplificador de volumen de sonido | 100 |
| com.Dividendo.HoróscopoTaro | Navegador Astrológico: Horóscopo Diario y Tarot | 100 |
| com.Potap64.calculadora universal | Calculadora Universal | 100 |
Según la telemetría de McAfee, la mayoría de los dispositivos infectados se encuentran en EE.UU., Alemania, España, Reino Unido, Australia, Brasil, México y Argentina.
Xamalicious es una puerta trasera de Android basada en .NET integrada (en forma de Core.dll y GoogleService.dll) en aplicaciones desarrolladas utilizando el marco de código abierto Xamarin, lo que complica significativamente el análisis de código.
Después de la instalación, el malware engaña al usuario para que acceda al Servicio de Accesibilidad, lo que le permite utilizar gestos de navegación, ocultar elementos de la pantalla y otorgarse permisos adicionales.
Peor aún, los investigadores escriben que el dropper de primera etapa contiene funciones para actualizar el propio APK, lo que significa que puede usarse como software espía o troyano bancario sin la intervención del usuario.
Una vez instalado, el malware se pone en contacto con el servidor de comando y control para obtener la carga útil de la segunda etapa (cache.bin). Sin embargo, esto sólo sucede si se cumplen una serie de condiciones, incluida la ubicación geográfica de la víctima, la configuración del dispositivo y el acceso raíz.
En general, Xamalicious puede ejecutar los siguientes comandos:
- DevInfo: recopila información sobre el dispositivo y el hardware, incluido el ID de Android, datos sobre el modelo del dispositivo, su procesador, versión del sistema operativo, idioma, estado del desarrollador, información sobre la tarjeta SIM y el firmware;
- GeoInfo: determina la ubicación geográfica del dispositivo por dirección IP, recopila información sobre el proveedor de Internet, la organización, los servicios y también verifica la puntuación de fraude para identificar usuarios falsos;
- EmuInfo: enumera adbProperties para determinar si la víctima es un dispositivo real o un emulador, verifica el procesador, la memoria, los sensores, la configuración del USB y el estado del ADB;
- RootInfo: determina si el dispositivo está rooteado e informa el estado de root;
- Paquetes: enumera todas las aplicaciones del sistema y de terceros instaladas en el dispositivo;
- Accesibilidad: informa permisos en Servicios de Accesibilidad;
- GetURL: solicita la carga útil de la segunda etapa del servidor de comando y control, especificando el ID de Android, recibiendo un estado y una DLL cifrada como respuesta.
Además, los investigadores de McAfee descubrieron una conexión entre Xamalicious y la aplicación de publicidad fraudulenta Cash Magnet, que automáticamente hace clic en los anuncios e instala adware en los dispositivos de las víctimas. Por tanto, es posible que Xamalicious también se dedique a fraude publicitario en dispositivos infectados, consumiendo recursos del procesador y cargando la red.
2023-12-28 10:30:11
#malware #para #Android #Xamalicious #descargó #Google #Play #veces #Hacker,
Leave a Reply