Xamalicious: il malware Android ha colpito più di 327.000 smartphone

Un nuovo malware, battezzato con il nome Xamalicious dal McAfee Mobile Research Team, si sta diffondendo online a una velocità impressionante.

Questa backdoor è stata sviluppata utilizzando un framework di app mobile open source chiamato Xamarin, che rende la stessa capace di abusare delle autorizzazioni di accessibilità dei dispositivi Android.

Tra le varie capacità mostrate da Xamalicious, possiamo citare la raccolta di metadati sul telefono compromesso, la valutazione del potenziale valore degli stessi e il potenziale invio del pacchetto a un server di comando e controllo.

La seconda fase dell’infezione prevede l’iniezione di una DLL di assembly a livello di runtime, con il fine di assumere il pieno controllo del dispositivo ed eseguire azioni da remoto, dall’installazione di ulteriori app malevole fino a manipolazioni di vario tipo.

Xamalicious, il malware è stato individuato su ben 25 app

Ad impressionare gli esperti di sicurezza, però, sono stati soprattutto i numeri relativi alla diffusione. Xamalicious, infatti, è stato identificato su ben 25 diverse app e, sempre secondo gli addetti ai lavori, è stato installato almeno 327.000 volte.

A quanto pare, alcune app coinvolte in questa operazione sono presenti su Google Play Store addirittura da metà 2020. Tra i software individuati come portatori del malware figurano:

• Essential Horoscope for Android
• 3D Skin Editor for PE Minecraft
• Logo Maker Pro
• Auto Click Repeater
• Count Easy Calorie Calculator
• Sound Volume Extender
• LetterLink
• NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS
• Step Keeper: Easy Pedometer
• Track Your Sleep
• Sound Volume Booster
• Astrological Navigator: Daily Horoscope & Tarot
• Universal Calculator.

Il ricercatore Fernando Ruiz ha voluto spiegare come i cybercriminali riescono a diffondere Xamalicious eludendo i sistemi di sicurezza “Gli autori del malware hanno crittografato tutte le comunicazioni e i dati trasmessi tra C2 e il dispositivo infetto, non solo protetti da HTTPS, ma anche crittografati come token JSON Web Encryption (JWE) utilizzando RSA-OAEP con un algoritmo 128CBC-HS256 “.

Essendo le app coinvolte presenti sullo store ufficiale, agli utenti è consigliata la massima attenzione quando si installa un nuovo software, soprattutto quando questi chiedono permessi che risultano sospetti rispetto alle attività che deve svolgere. Un antivirus affidabile e aggiornato costantemente, poi, può fornire un ulteriore livello di garanzia.