XLoader (noto anche come MoqHao) è un famigerato malware per Android utilizzato dal gruppo Roaming Mantis. I ricercatori di McAfee hanno individuato una nuova versione che viene eseguita automaticamente sul dispositivo, quindi senza interazione dell’utente. Le vittime sono principalmente in Francia, Regno Unito, Stati Uniti, Taiwan, Germania, Giappone e Corea del Sud.
Avvio automatico dopo l’installazione
XLoader viene distribuito tramite smishing. Il messaggio SMS contiene un link, mascherato da un servizio di URL shortener, che punta al sito sul quale è presente il file APK del malware. L’ignara vittima vede sullo schermo il nome di Chrome, quindi procede all’installazione.
A questo punto, XLoader viene eseguito in background, senza interazione dell’utente. Successivamente vengono richiesti i permessi di accesso agli SMS, ai contatti, alle chiamate telefoniche, ai file e alle foto. Viene inoltre chiesto di impostare l’app fasulla come app predefinita per gli SMS, al posto di Google Messaggi.
XLoader può ricevere diversi comandi dal server C2 (command and control) per eseguire le sue attività, sfruttando i precedenti permessi: invio di foto, SMS, elenco dei contatti, informazioni sullo smartphone e download di altri malware. Può quindi impersonare la vittima per effettuare attacchi di smishing e phishing contro gli utenti presenti nella rubrica.
Google introdurrà una protezione nelle future versioni di Android che impedirà questo tipo di esecuzione automatica. Fortunatamente, già oggi è possibile bloccare XLoader con Google Play Protect, anche se le app sono scaricate da store di terze parti tramite APK (sideloading).