Phát hiện mã độc Android mới - Xamalicious lén lút tấn công hàng trăm nghìn thiết bị

Một backdoor Android mới đã được phát hiện có khả năng thực hiện một loạt hành động độc hại trên các thiết bị bị nhiễm.

Được nhóm nghiên cứu di động McAfee đặt tên là Xamalicious do mã độc này được phát triển bằng framework ứng dụng di động nguồn mở có tên Xamarin.

Phần mềm độc hại cũng có khả năng thu thập metadata về thiết bị bị xâm nhập và kết nối với máy chủ kiểm soát tấn công (C2) để tải payload (tệp/phần mềm độc hại) bổ sung cho giai tấn công tiếp theo.

Nhà nghiên cứu bảo mật Fernando Ruiz cho biết payload giai đoạn hai được tự động "tải vào dưới dạng assembly DLL để kiểm soát hoàn toàn thiết bị và có khả năng thực hiện các hành động gian lận như nhấp vào quảng cáo, cài đặt ứng dụng, cùng các hành động khác có động cơ tài chính mà không có sự đồng ý của người dùng".

Công ty bảo mật cho biết họ đã xác định được 25 ứng dụng ẩn dấu mã độc này, một số ứng dụng đã được cung cấp trên Cửa hàng Google Play chính thức kể từ giữa năm 2020. Các ứng dụng này ước tính đã được cài đặt ít nhất 327.000 lần.

Phần lớn các trường hợp bị lây nhiễm đã được báo cáo ở Brazil, Argentina, Anh, Úc, Mỹ, Mexico và các khu vực khác ở Châu Âu và Châu Mỹ. Một số ứng dụng chứa mã độc được phát hiện bao gồm:

- Essential Horoscope for Android (com.anomenforyou.essentialhoroscope)

- 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft)

- Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)

- Auto Click Repeater (com.autoclickrepeater.free)

- Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator)

- Sound Volume Extender (com.muranogames.easyworkoutsathome)

- LetterLink (com.regaliusgames.llinkgame)

- NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER)

- Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter)

- Track Your Sleep (com.shvetsStudio.trackYourSleep)

- Sound Volume Booster (com.devapps.soundvolumebooster)

- Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro)

- Universal Calculator (com.Potap64.universalcalculator)

Xamalicious thường giả dạng các ứng dụng sức khỏe, trò chơi, tử vi và ứng dụng nâng cao hiệu suất. Phần mềm độc hại yêu cầu quyền truy cập của người dùng vào các dịch vụ trợ năng ngay sau khi được cài đặt để thực hiện các tác vụ của nó.

“Để tránh bị phân tích và phát hiện, người phát triển Xamalicious đã mã hóa tất cả thông tin liên lạc và dữ liệu được truyền giữa C2 và thiết bị bị nhiễm", Ruiz lưu ý.

Ngoài ra, công cụ dropper giai đoạn đầu có khả năng tự cập nhật tệp main Android package (APK), điều này có thể được lạm dụng để hoạt động như một phần mềm gián điệp hoặc trojan ngân hàng mà không cần bất kỳ tương tác nào của người dùng.

McAfee cho biết họ đã xác định được mối liên hệ giữa Xamalicious và một ứng dụng lừa đảo quảng cáo có tên Cash Magnet. Cash Magnet giúp tải xuống ứng dụng và thực hiện hoạt động tự động nhấp chuột để kiếm lợi bất hợp pháp bằng cách nhấp vào quảng cáo.

Để giảm thiểu nguy cơ bị lây nhiễm các phần mềm độc hại như vậy, người dùng không nên tải/cài đặt phần mềm từ những nguồn không chính thức; xem xét cẩn thận các thông tin liên quan như thông tin nhà phát triển, số lượt cài đặt, đánh giá về ứng dụng trước khi tải xuống; lưu ý kiểm tra các quyền mà ứng dụng yêu cầu trong khi cài đặt hoặc sử dụng ứng dụng, nếu phát hiện bất kỳ điểm đáng ngờ nào tốt nhất bạn nên hủy/gỡ cài đặt ứng dụng ngay.

Nguồn: thehackernews.com.