Se ha descubierto una nueva puerta trasera de Android con potentes capacidades para llevar a cabo una serie de acciones maliciosas en dispositivos infectados.
Apodado Xamalicious por el equipo de investigación móvil de McAfee, el malware recibe su nombre por el hecho de que se desarrolla utilizando un marco de aplicación móvil de código abierto llamado Xamarin y abusa de los permisos de accesibilidad del sistema operativo para cumplir sus objetivos.
También es capaz de recopilar metadatos sobre el dispositivo comprometido y ponerse en contacto con un servidor de comando y control (C2) para obtener una carga útil de segunda etapa, pero solo después de determinar si se ajusta a los requisitos.
La segunda etapa es "inyectada dinámicamente como una DLL de ensamblaje a nivel de tiempo de ejecución para tomar el control total del dispositivo y potencialmente realizar acciones fraudulentas como hacer clic en anuncios, instalar aplicaciones, entre otras acciones motivadas financieramente sin el consentimiento del usuario", dijo el investigador de seguridad Fernando Ruiz. .
La firma de ciberseguridad dijo que identificó 25 aplicaciones que vienen con esta amenaza activa, algunas de las cuales se distribuyeron en la tienda oficial Google Play Store desde mediados de 2020. Se estima que las aplicaciones se instalaron al menos 327.000 veces.
La mayoría de las infecciones se han reportado en Brasil, Argentina, el Reino Unido, Australia, Estados Unidos, México y otras partes de Europa y América. Algunas de las aplicaciones se enumeran a continuación:
- Horóscopo Esencial para Android (com.anomenforyou.essentialhoroscope)
- Editor de máscaras 3D para PE Minecraft (com.littleray.skineditorforpeminecraft)
- Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)
- Repetidor de clic automático (com.autoclickrepeater.free)
- Calculadora fácil de contar calorías (com.lakhinstudio.counteasycaloriecalculator)
- Extensor de volumen de sonido (com.muranogames.easyworkoutsathome)
- LetterLink (com.regaliusgames.llinkgame)
- NUMEROLOGÍA: HORÓSCOPO PERSONAL Y PREDICCIONES DE NÚMEROS (com.Ushak.NPHOROSCOPENUMBER)
- Step Keeper: Podómetro fácil (com.browgames.stepkeepereasymeter)
- Realice un seguimiento de su sueño (com.shvetsStudio.trackYourSleep)
- Amplificador de volumen de sonido (com.devapps.soundvolumebooster)
- Navegador Astrológico: Horóscopo Diario y Tarot (com.Osinko.HoroscopeTaro)
- Calculadora universal (com.Potap64.universalcalculator)
Xamalicious, que normalmente se hace pasar por aplicaciones de salud, juegos, horóscopos y productividad, es la última de una larga lista de familias de malware que abusan de los servicios de accesibilidad de Android y solicitan a los usuarios acceso al mismo durante la instalación para realizar sus tareas.
"Para evadir el análisis y la detección, los autores de malware cifraron todas las comunicaciones y los datos transmitidos entre el C2 y el dispositivo infectado, no solo protegidos por HTTPS, sino que están cifrados como un token JSON Web Encryption ( JWE ) utilizando RSA-OAEP con un algoritmo 128CBC-HS256. ", señaló Ruíz.
Aún más preocupante es que el cuentagotas de la primera etapa contiene funciones para actualizar automáticamente el archivo del paquete principal de Android (APK), lo que significa que puede usarse como arma para actuar como software espía o troyano bancario sin ninguna interacción del usuario.
McAfee dijo que identificó un vínculo entre Xamalicious y una aplicación de fraude publicitario llamada Cash Magnet, que facilita la descarga de aplicaciones y la actividad automática de clics para obtener ingresos ilícitos al hacer clic en los anuncios.
"Las aplicaciones de Android escritas en código que no es Java con marcos como Flutter, React Native y Xamarin pueden proporcionar una capa adicional de ofuscación a los autores de malware que eligen intencionalmente estas herramientas para evitar la detección e intentan permanecer fuera del radar de los proveedores de seguridad y mantener su presencia en los mercados de aplicaciones", dijo Ruiz.
La campaña de phishing de Android se dirige a la India con malware bancario#
La divulgación se produce cuando la compañía de ciberseguridad detalló una campaña de phishing que emplea aplicaciones de mensajería social como WhatsApp para distribuir archivos APK fraudulentos que se hacen pasar por bancos legítimos como el State Bank of India (SBI) y solicitan al usuario que los instale para completar un formulario obligatorio Know Your. Procedimiento de cliente (KYC).
Una vez instalada, la aplicación solicita al usuario que le otorgue permisos relacionados con SMS y le redirige a una página falsa que solo captura las credenciales de la víctima, pero también su cuenta, tarjeta de crédito/débito e información de identidad nacional.
Los datos recopilados, junto con los mensajes SMS interceptados, se reenvían a un servidor controlado por el actor, lo que permite al adversario completar transacciones no autorizadas.
Vale la pena señalar que Microsoft advirtió el mes pasado sobre una campaña similar que utiliza WhatsApp y Telegram como vectores de distribución para dirigirse a los usuarios indios de banca en línea.
"India subraya la aguda amenaza que representa este malware bancario dentro del panorama digital del país, con algunos ataques encontrados en otras partes del mundo, posiblemente de usuarios indios de SBI que viven en otros países", dijeron los investigadores Neil Tyagi y Ruiz.
Fuente: https://www.thehackernews.com/
0 Comentarios