I ricercatori di McAfee hanno individuato una nuova backdoor per Android, denominata Xamalicious, in 12 app pubblicate sul Play Store che hanno infettato oltre 338.000 dispositivi. In seguito alla segnalazione, Google ha prontamente rimosso le app. Gli utenti sono protetti dalla funzionalità Play Protect. Altre 14 app sono state distribuite tramite file APK, quindi rappresentano ancora un grave pericolo per la sicurezza.
Privilegi elevati con servizi di accessibilità
I ricercatori hanno scelto il nome Xamalicious perché la backdoor è stata sviluppata con Xamarin, un framework open source che permette di ottenere app per Android e iOS con .NET e C#. Le app appartengono a varie categorie (salute, oroscopo, giochi, produttività). In base alla telemetria, la maggioranza dei dispositivi infetti si trova in Germania, Spagna, Regno Unito, Stati Uniti, Australia, Brasile, Messico e Argentina.
La catena di infezione è identica per tutte le app. All’avvio viene chiesto all’utente di attivare i servizi di accessibilità. La backdoor ottiene quindi privilegi elevati e può eseguire numerose attività, come nascondere elementi sullo schermo e simulare le gesture di navigazione.
Dopo aver raccolto alcune informazioni sul dispositivo, il malware effettua la connessione al server C2 (command and control), dal quale scarica il secondo stadio dell’infezione. Tra i dati ottenuti da Xamalicious ci sono il modello dello smartphone, la versione del sistema operativo, l’indirizzo IP e l’elenco delle app installate.
L’utente deve ovviamente evitare il download di app da store di terze parti poco conosciuti e prestare molta attenzione ai permessi, soprattutto quelli che chiedono l’attivazione dei servizi di accessibilità (anche se le app sono presenti sul Google Play Store).