Software

Recent, cercetatorii de la McAfee au descoperit un nou virus pe dispozitivele Android, numit "Xamalicious", care a afectat aproximativ 338.300 de dispozitive prin intermediul unor aplicatii malware disponibile pe Google Play Store.

Malware-ul a fost identificat in 14 aplicatii, dintre care trei au acumulat fiecare cate 100.000 de instalari inainte de a fi eliminate din magazinul Play Store. Desi aceste aplicatii nu mai sunt disponibile in Play Store, utilizatorii care le-au instalat sunt sfatuiti sa le stearga imediat.

Aplicatiile afectate au fost eliminate din magazinul de aplicatii, iar utilizatorii care le-au instalat incepand cu mijlocul anului 2020 pot avea inca virusul Xamalicious pe dispozitiv. Prin urmare, utilizatorilor li se recomanda sa efectueze o curatare manuala.

Printre aplicatiile Android afectate de Xamalicious, care au fost instalate in numar ridicat, se numara: Essential Horoscope for Android (100.000 de instalari), 3D Skin Editor for PE Minecraft (100.000 de instalari), Logo Maker Pro (100.000 de instalari), Auto Click Repeater (10.000 de instalari), Count Easy Calorie Calculator (10.000 de instalari), Dots: One Line Connector (10.000 de instalari) si Sound Volume Extender (5.000 de instalari).

Cum functioneaza virusul
In plus fata de aplicatiile de pe Google Play, un numar de 12 aplicatii malware care contin Xamalicious sunt disponibile pe magazinele de aplicatii neautorizate de terti, afectand utilizatorii prin descarcarile de fisiere APK, conform ANI.

Xamalicious, un backdoor Android, este extrem de periculos prin faptul ca se bazeaza pe cadru.NET si este integrat in aplicatii dezvoltate folosind cadrul open-source Xamarin. Astfel, caracteristica reprezinta o provocare pentru expertii in securitate cibernetica care efectueaza analize de cod. Dupa instalare, Xamalicious solicita acces la Serviciul de Accesibilitate, permitandu-i sa efectueze operatiuni privilegiate, cum ar fi executarea de coduri, ascunderea elementelor de pe ecran si obtinerea unor permisiuni suplimentare.

Dupa instalare, malware-ul initiaza comunicarea cu un server de comanda si control (C2) pentru a recupera payload-ul DLL din a doua etapa. Aceasta recuperare este conditionata de indeplinirea unor criterii specifice, inclusiv locatie, conditiile retelei, configuratia dispozitivului si statutul root.

Articolul 14 aplicatii de pe Google Play au fost eliminate din cauza virusilor. Acestea au acumulat in total peste 300.000 de descarcari apare prima data in Go4IT.