Новый бэкдор прячется в калькуляторах и счетчиках шагов, чтобы шпионить за пользователями Android

Аналитики из компании McAfee выявили новый вредоносный бэкдор для Android, получивший название Xamalicious . По информации специалистов, он был разработан на основе открытой мобильной платформы Xamarin и использует разрешения доступа в операционной системе для достижения своих целей.

Xamalicious собирает метаданные о системе и связывается с командным сервером для получения вторичной вредоносной нагрузки. Но сначала программа проверяет, подходит ли устройство злоумышленникам для их мошеннических операций. Второй вредоносный модуль внедряется незаметно в виде DLL-библиотеки и позволяет хакерам получить полный доступ и контроль над зараженным смартфоном.

После захвата контроля бэкдор может тайно выполнять различные мошеннические действия: имитировать клики по рекламе, устанавливать приложения без ведома пользователя, собирать конфиденциальные данные и другие команды, позволяющие получать незаконную прибыль.

Специалисты McAfee выявили 25 приложений с активной угрозой Xamalicious. Некоторые из них распространялись через официальный магазин Google Play с середины 2020 года и были установлены более 327 000 раз. Среди зараженных программ есть как популярные приложения для гороскопов и гаданий, так и утилиты для настройки звука, калькуляторы, счетчики шагов и другие повседневные инструменты.

Для сокрытия своей активности преступники тщательно шифруют всю связь между зараженным устройством и командным сервером. Помимо HTTPS-шифрования, используется JSON Web Encryption с алгоритмом RSA-OAEP.

Согласно заявлению McAfee, была установлена связь между вредоносной программой Xamalicious и приложением Cash Magnet, предназначенным для мошенничества с интернет-рекламой. Cash Magnet используется для массовых скачиваний приложений и имитации кликов по баннерам.

По словам исследователей McAfee, использование нестандартных языков и фреймворков, таких как Flutter, React Native и Xamarin, помогает разработчикам вредоносов оставаться незамеченными. Компания Google заверила, что технологии Play Protect защищают пользователей Android как в магазине приложений, так и за его пределами.

Если приложение с этой угрозой уже было установлено, владелец смартфона получит предупреждение, и оно будет автоматически удалено с устройства. Попытка установки будет заблокирована на стадии проверки.

Раскрытие информации о Xamalicious совпало с сообщениями McAfee о другой атаке на индийских пользователей с применением банковского трояна. Злоумышленники распространяют вредоносные программы, маскируя их под банковские приложения, через WhatsApp. Жертв обманом заставляют установить эти программы и предоставить доступ к СМС, после чего мошенники без труда получают учетные данные для доступа к счетам и совершения несанкционированных транзакций.

По мнению специалистов McAfee, Индия демонстрирует высокий уровень уязвимости к этому банковскому трояну, хотя случаи заражения были обнаружены и в других странах.