Команда McAfee Mobile Research Team обнаружила бэкдор для Android под названием Android/Xamalicious, реализованный в Xamarin, фреймворке с открытым исходным кодом, который позволяет создавать приложения для Android и iOS с помощью .NET и C#.
Вредоносная программа пытается получить привилегии доступа с помощью социальной инженерии, а затем связывается с командно-контрольным сервером, чтобы оценить, стоит ли загружать полезную нагрузку второго этапа, которая динамически внедряется как DLL-сборка на уровне времени выполнения, чтобы получить полный контроль над устройством и потенциально выполнить мошеннические действия, такие как нажатие на рекламу, установка приложений и другие действия, финансово мотивированные без согласия пользователя. Полезная нагрузка второго этапа может полностью контролировать зараженное устройство благодаря мощным сервисам доступа, которые уже были предоставлены на первом этапе, который также содержит функции для самостоятельного обновления основного APK, что означает, что он имеет потенциал для выполнения любого типа действий, таких как шпионское ПО или банковский троян, без участия пользователя. Авторы вредоносной программы также применили различные техники обфускации и пользовательское шифрование для утечки данных и связи с командно-контрольным сервером.
Вредоносная программа распространялась через 25 различных вредоносных приложений, которые несли в себе эту угрозу. Некоторые варианты распространяются в Google Play с середины 2020 года. Приложения, выявленные в данном отчете, были заблаговременно удалены компанией Google из Google Play. Судя по количеству установок, эти приложения могли скомпрометировать не менее 327 000 устройств из Google Play плюс установки из сторонних маркетов, которые постоянно производят новые заражения, основываясь на телеметрии обнаружения клиентов McAfee по всему миру. Вредоносное ПО имеет финансовую мотивацию и занимается мошенничеством с рекламой.
Indicators of Compromise
SHA256
- 01c56911c7843098777ec375bb5b0029379b0457a9675f149f339b7db823e996
- 117fded1dc51eff3788f1a3ec2b941058ce32760acf61a35152be6307f6e2052
- 19ffe895b0d1be65847e01d0e3064805732c2867ce485dfccc604432faadc443
- 1bfc02c985478b21c6713311ca9108f6c432052ea568458c8bd7582f0a825a48
- 22803693c21ee17667d764dd226177160bfc2a5d315e66dc355b7366b01df89b
- 28a4ae5c699a7d96e963ca5ceec304aa9c4e55bc661e16c194bdba9a8ad847b7
- 3201785a7de8e37e5d12e8499377cfa3a5b0fead6667e6d9079d8e99304ce815
- 5fffb10487e718634924552b46e717bbcbb6a4f9b1fed02483a6517f9acd2f61
- 6953ba04233f5cf15ab538ae191a66cb36e9e0753fcaeeb388e3c03260a64483
- 6a3455ff881338e9337a75c9f2857c33814b7eb4060c06c72839b641b347ed36
- 7149acb072fe3dcf4dcc6524be68bd76a9a2896e125ff2dddefb32a4357f47f6
- 81a9a6c86b5343a7170ae5abd15f9d2370c8282a4ed54d8d28a3e1ab7c8ae88e
- 8927ff14529f03cbb2ebf617c298f291c2d69be44a8efa4e0406dea16e53e6f9
- 899b0f186c20fdbfe445b4722f4741a5481cd3cbcb44e107b8e01367cccfdda3
- 9b4dc1e80a4f4c798d0d87a52f52e28700b5b38b38a532994f70830f24f867ba
- 9c646516dd189cab1b6ced59bf98ade42e19c56fc075e42b85d597449bc9708b
- a5de2dc4e6005e75450a0df0ea83816996092261f7dac30b5cf909bf6daaced0
- acb5de2ed2c064e46f8d42ee82feabe380364a6ef0fbfeb73cf01ffc5e0ded6b
- b0b9a8e9ec3d0857b70464617c09ffffce55671b227a9fdbb178be3dbfebe8ed
- dfdca848aecb3439b8c93fd83f1fd4036fc671e3a2dcae9875b4648fd26f1d63
- e52b65fdcb77ed4f5989a69d57f1f53ead58af43fa4623021a12bc11cebe29ce
- e6668c32b04d48209d5c71ea96cb45a9641e87fb075c8a7697a0ae28929913a6
- e694f9f7289677adaf2c2e93ba0ac24ae38ab9879a34b86c613dd3c60a56992d
- e7ffcf1db4fb13b5cb1e9939b3a966c4a5a894f7b1c1978ce6235886776c961e
- e801844333031b7fd4bd7bb56d9fb095f0d89eb89d5a3cc594a4bed24f837351
- efbb63f9fa17802f3f9b3a0f4236df268787e3d8b7d2409d1584d316dabc0cf9
