Nuevo malware de Android ha sido instalado más de 300 mil veces en Google Play
En estos momentos, una puerta trasera del sistema operativo Android anteriormente desconocida y que hoy tiene por nombre “Xamalicious”, ha infectado a casi 400 mil dispositivos. Todo ello a través de diversas apps maliciosas descargadas desde la Google Play Store, la tienda oficial de las aplicaciones de Android.
Diversas empresas de ciberseguridad han descubierto, al menos, 14 apps infectadas en Google Play, las cuales han pasado el filtro de seguridad Play Protect. Además, 3 de estas aplicaciones tienen ya más de 100 descargas cada una.
Si bien las aplicaciones maliciosas han sido eliminadas de la tienda, si has instalado alguna de ellas desde mediados del año 2020, puedes tener aún infecciones por Xamalicious activas en tus dispositivos móviles. Por ello, TIC Defense te recomienda analizar tu dispositivo y realizar una limpieza manual.
Las aplicaciones con este malware que tuvieron más descargas, han sido: el Horóscopo Esencial para Android, Editor de máscaras 3D para PE Minecraft y Logo Maker Pro, con más de 100 mil instalaciones. Luego, con más de 10 mil instalaciones se encuentran: el Repetidor de clic automático, Calculadora para contar calorías fácil y Puntos: conector de una línea. Para finalizar, la app Extensor de volumen de sonido, tuvo unas 5 mil instalaciones.
Del mismo modo, algunas apps separadas de las maliciosas detectadas con esta amenaza y que no disponemos de estadísticas de descargas, se están distribuyendo en tiendas de aplicaciones no oficiales, las cuales siguen infectando los dispositivos de los usuarios mediante archivos APK (Android Package o Paquetes de Android) descargables.
Según datos de telemetría de expertos en tecnología y ciberseguridad, la mayoría de las infecciones a smartphones han sido instaladas en países como los Estados Unidos, España, Alemania, Australia, Brasil, Reino Unido, Argentina y México.
La amenaza Xamalicious es una puerta trasera de Android que está basada en .NET y viene dentro de aplicaciones desarrolladas, usando el marco de código abierto llamado Xamarin, haciendo que el análisis de dicho código sea difícil.
Después de la instalación, la app maliciosa se encarga de solicitar acceso al Servicio de Accesibilidad, el cual permite realizar acciones de privilegios, como gestos de navegación, ocultar elementos en la pantalla y otorgar permisos adicionales.
Ahora, la app establece comunicación con un servidor C2 o de comando y control, con el fin de recuperar la carga útil de la DLL de segunda etapa. Todo ello si se cumplen requisitos previos, especificando la ubicación geográfica, redes, configuración del dispositivo y su estado de raíz o root.
De igual forma, los expertos han encontrado una relación entre esta amenaza y la aplicación de fraude publicitario llamada “Cash Magnet”, la cual, de forma automática, hace clic en anuncios y comienza a instalar adware en el móvil de la víctima y así generar ingresos para sus operadores.
Es por ello que, probablemente, la amenaza Xamalicious realice fraude publicitario en los teléfonos Android infectados. Este problema disminuye el rendimiento del procesador y el ancho de banda de la red.
Si eres usuario de Android, debes evitar descargar apps desde fuentes de terceros, así que limítate a descargar aplicaciones esenciales. Además, TIC Defense siempre recomienda leer las reseñas de los usuarios antes de instalarlas y ejecutar una verificación exhaustiva de antecedentes del desarrollador de la app. De esta forma, puedes limitar los ataques de malware en tu smartphone y demás dispositivos. Android.
