Recent, cercetătorii de la McAfee au descoperit un nou virus pe dispozitivele Android, numit „Xamalicious”, care a afectat aproximativ 338.300 de dispozitive prin intermediul unor aplicații malware disponibile pe Google Play Store.
Malware-ul a fost identificat în 14 aplicații, dintre care trei au acumulat fiecare câte 100.000 de instalări înainte de a fi eliminate din magazinul Play Store. Deși aceste aplicații nu mai sunt disponibile în Play Store, utilizatorii care le-au instalat sunt sfătuiți să le șteargă imediat.
Aplicațiile afectate au fost eliminate din magazinul de aplicații, iar utilizatorii care le-au instalat începând cu mijlocul anului 2020 pot avea încă virusul Xamalicious pe dispozitiv. Prin urmare, utilizatorilor li se recomandă să efectueze o curățare manuală.
Printre aplicațiile Android afectate de Xamalicious, care au fost instalate în număr ridicat, se numără: Essential Horoscope for Android (100.000 de instalări), 3D Skin Editor for PE Minecraft (100.000 de instalări), Logo Maker Pro (100.000 de instalări), Auto Click Repeater (10.000 de instalări), Count Easy Calorie Calculator (10.000 de instalări), Dots: One Line Connector (10.000 de instalări) și Sound Volume Extender (5.000 de instalări).
În plus față de aplicațiile de pe Google Play, un număr de 12 aplicații malware care conțin Xamalicious sunt disponibile pe magazinele de aplicații neautorizate de terți, afectând utilizatorii prin descărcările de fișiere APK, conform ANI.
Xamalicious, un backdoor Android, este extrem de periculos prin faptul că se bazează pe cadru.NET și este integrat în aplicații dezvoltate folosind cadrul open-source Xamarin. Astfel, caracteristica reprezintă o provocare pentru experții în securitate cibernetică care efectuează analize de cod. După instalare, Xamalicious solicită acces la Serviciul de Accesibilitate, permițându-i să efectueze operațiuni privilegiate, cum ar fi executarea de coduri, ascunderea elementelor de pe ecran și obținerea unor permisiuni suplimentare.
După instalare, malware-ul inițiază comunicarea cu un server de comandă și control (C2) pentru a recupera payload-ul DLL din a doua etapă. Această recuperare este condiționată de îndeplinirea unor criterii specifice, inclusiv locație, condițiile rețelei, configurația dispozitivului și statutul root.