Une nouvelle porte dérobée Android a été découverte, dotée de puissantes capacités permettant d’effectuer une série d’actions malveillantes sur les appareils infectés.
Doublé Xamalicieux Selon l’équipe de recherche mobile de McAfee, le malware doit son nom au fait qu’il est développé à l’aide d’un framework d’applications mobiles open source appelé Xamarin et qu’il abuse des autorisations d’accessibilité du système d’exploitation pour atteindre ses objectifs.
Il est également capable de collecter des métadonnées sur l’appareil compromis et de contacter un serveur de commande et de contrôle (C2) pour récupérer une charge utile de deuxième étape, mais seulement après avoir déterminé si elle correspond à la facture.
La deuxième étape est « injectée dynamiquement sous la forme d’une DLL d’assemblage au niveau de l’exécution pour prendre le contrôle total de l’appareil et potentiellement effectuer des actions frauduleuses telles que cliquer sur des publicités, installer des applications, entre autres actions motivées financièrement sans le consentement de l’utilisateur », a déclaré le chercheur en sécurité Fernando Ruiz. dit.
La société de cybersécurité a déclaré avoir identifié 25 applications associées à cette menace active, dont certaines sont distribuées sur le Google Play Store officiel depuis mi-2020. On estime que les applications ont été installées au moins 327 000 fois.
De l’UTILISATEUR à l’ADMINISTE : découvrez comment les pirates informatiques prennent le contrôle total
Découvrez les tactiques secrètes utilisées par les pirates pour devenir administrateurs, comment les détecter et les bloquer avant qu’il ne soit trop tard. Inscrivez-vous à notre webinaire dès aujourd’hui.
La majorité des infections ont été signalées au Brésil, en Argentine, au Royaume-Uni, en Australie, aux États-Unis, au Mexique et dans d’autres régions d’Europe et des Amériques. Certaines des applications sont répertoriées ci-dessous –
- Horoscope essentiel pour Android (com.anomenforyou.essentialhoroscope)
- Éditeur de skin 3D pour PE Minecraft (com.littleray.skineditorforpeminecraft)
- Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)
- Répéteur de clic automatique (com.autoclickrepeater.free)
- Calculateur de calories facile (com.lakhinstudio.counteasycaloriecalculator)
- Extension du volume sonore (com.muranogames.easyworkoutsathome)
- LetterLink (com.regaliusgames.llinkgame)
- NUMÉROLOGIE : HOROSCOPE PERSONNEL ET PRÉVISIONS DE NOMBRE (com.Ushak.NPHOROSCOPENUMBER)
- Step Keeper : podomètre facile (com.browgames.stepkeepereasymeter)
- Suivez votre sommeil (com.shvetsStudio.trackYourSleep)
- Booster de volume sonore (com.devapps.soundvolumebooster)
- Navigateur astrologique : Horoscope quotidien et Tarot (com.Osinko.HoroscopeTaro)
- Calculatrice universelle (com.Potap64.universalcalculator)
Xamalicious, qui se fait généralement passer pour des applications de santé, de jeux, d’horoscope et de productivité, est le dernier d’une longue liste de familles de logiciels malveillants qui abusent des services d’accessibilité d’Android, demandant aux utilisateurs d’y accéder lors de l’installation pour effectuer leurs tâches.
« Pour échapper à l’analyse et à la détection, les auteurs de logiciels malveillants ont chiffré toutes les communications et données transmises entre le C2 et l’appareil infecté, non seulement protégées par HTTPS, mais également chiffrées en tant que chiffrement Web JSON (JWE) jeton utilisant RSA-OAEP avec un algorithme 128CBC-HS256″, a noté Ruiz.
Plus troublant encore, le compte-gouttes de première étape contient des fonctions permettant de mettre à jour automatiquement le fichier principal du package Android (APK), ce qui signifie qu’il peut être utilisé comme une arme pour agir comme un logiciel espion ou un cheval de Troie bancaire sans aucune interaction de l’utilisateur.
McAfee a déclaré avoir identifié un lien entre Xamalicious et une application de fraude publicitaire nommée Cash Magnet, qui facilite le téléchargement d’applications et l’activité de clic automatisée pour gagner illégalement des revenus en cliquant sur les publicités.
« Les applications Android écrites en code non Java avec des frameworks tels que Flutter, React Native et Xamarin peuvent fournir une couche supplémentaire d’obscurcissement aux auteurs de logiciels malveillants qui choisissent intentionnellement ces outils pour éviter d’être détectés et tentent de rester sous le radar des fournisseurs de sécurité et de conserver leur sécurité. présence sur les marchés d’applications », a déclaré Ruiz.
Une campagne de phishing sur Android cible l’Inde avec un logiciel malveillant bancaire
La divulgation intervient alors que la société de cybersécurité détaillé une campagne de phishing qui utilise des applications de messagerie sociale comme WhatsApp pour distribuer des fichiers APK malveillants qui usurpent l’identité de banques légitimes telles que la State Bank of India (SBI) et invitent l’utilisateur à les installer pour suivre une procédure obligatoire Know Your Customer (KYC).
Une fois installée, l’application demande à l’utilisateur de lui accorder des autorisations liées aux SMS et redirige vers une fausse page qui capture uniquement les informations d’identification de la victime mais également son compte, sa carte de crédit/débit et ses informations d’identité nationale.
Les données collectées, ainsi que les messages SMS interceptés, sont transmises à un serveur contrôlé par un acteur, permettant ainsi à l’adversaire d’effectuer des transactions non autorisées.
Il convient de noter que Microsoft a mis en garde le mois dernier contre une campagne similaire utilisant WhatsApp et Telegram comme vecteurs de distribution pour cibler les utilisateurs indiens des services bancaires en ligne.
« L’Inde souligne la menace aiguë que représente ce malware bancaire dans le paysage numérique du pays, avec quelques attaques trouvées ailleurs dans le monde, probablement par des utilisateurs indiens de SBI vivant dans d’autres pays », ont déclaré les chercheurs Neil Tyagi et Ruiz.