Un nuovo malware Android di nome Xamalicious, sviluppato con il framework di sviluppo mobile open-source Xamarin, sta mettendo in pericolo la sicurezza di centinaia di migliaia di utenti, secondo gli studi di sicurezza della società McAfee. Questo malware si comporta come una backdoor, ovvero un programma che consente l’accesso remoto al dispositivo infetto, e si nasconde dietro app apparentemente innocue, come quelle dedicate alla salute, al gioco, agli oroscopi o alla produttività.
Xamalicious sfrutta i servizi di accessibilità di Android, che sono pensati per aiutare gli utenti con disabilità, per ottenere privilegi elevati sul dispositivo. Durante l’installazione, il malware richiede all’utente di attivare questi servizi con tecniche di ingegneria sociale, mostrando messaggi ingannevoli o imitando le impostazioni di sistema. Una volta ottenuto l’accesso, il malware stabilisce una comunicazione con un server di comando e controllo, da cui riceve istruzioni su come comportarsi.
Il server può inviare al malware un payload di secondo stadio, che viene iniettato dinamicamente come un assembly DLL alla run time, ovvero al momento dell’esecuzione del programma. Questo payload consente al malware di prendere il pieno controllo del dispositivo e di compiere azioni fraudolente, come il clicco su annunci, l’installazione di app, la raccolta di dati personali o bancari, senza il consenso dell’utente. Il malware ha anche la capacità di auto-aggiornarsi, scaricando nuove versioni del file principale del pacchetto Android (APK), che possono contenere ulteriori funzionalità malevole, come la spionaggio o il trojan bancario.
Xamalicious fa parte di una lunga lista di famiglie di malware che utilizzano i servizi di accessibilità di Android per eludere le misure di sicurezza e sfruttare le vulnerabilità del sistema operativo. Il malware è stato scoperto per la prima volta nel 2020, e da allora ha infettato oltre 327.000 dispositivi in tutto il mondo, soprattutto in Brasile, Argentina, Regno Unito, Australia, Stati Uniti, Messico e altre parti d’Europa e d’America. Tra le app infettate da Xamalicious, vi sono alcune che sono state distribuite sul Google Play Store ufficiale, il che dimostra la difficoltà di rilevare questo tipo di minacce.
Di seguito sono elencate alcune delle app:
- Essential Horoscope for Android (com.anomenforyou.essentialhoroscope)
- 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft)
- Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)
- Auto Click Repeater (com.autoclickrepeater.free)
- Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator)
- Sound Volume Extender (com.muranogames.easyworkoutsathome)
- LetterLink (com.regaliusgames.llinkgame)
- NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER)
- Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter)
- Track Your Sleep (com.shvetsStudio.trackYourSleep)
- Sound Volume Booster (com.devapps.soundvolumebooster)
- Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro)
- Universal Calculator (com.Potap64.universalcalculator)
Gli esperti di sicurezza raccomandano agli utenti di Android di prestare attenzione alle app che richiedono permessi sospetti, come quelli di accessibilità, e di installare un software di protezione affidabile per difendersi da questo e altri malware.
Aggiungi commento