I ricercatori dei laboratori McAfee hanno individuato una infezione in corso su oltre 300.000 dispositivi Android battezzata Xamalicious, una backdoor che può arrivare a prendere il controllo completo del terminale: si diffonde tramite 25 diverse app per Android di cui 13 in precedenza disponibili su Google Play Store, rimosse da Google poco prima dell’annuncio pubblico di McAfee.
Le rimanenti 12 app Android infette con Xamalicious sono state distribuite tramite pacchetti APK, quindi possono ancora essere in circolazione e sono pericolose. Si tratta di app di diverso tipo e scopo, tra cui giochi, utility, conteggio calorie bruciate, oroscopo, produttività e altre ancora.
Dopo aver richiesto e ottenuto permessi speciali dall’utente, tipicamente per i servizi di accessibilità, anche tramite social engineering, Xamalicious si collega a server esterni per scaricare e installare un secondo pacchetto di malware.
Quest’ultimo può prendere il controllo completo del terminale, effettuando click per campagne di marketing o anche installando app, il tutto a insaputa e senza alcun intervento da parte dell’utente. Il nome Xamalicious della backdoor deriva da Xamarin, lo strumento open source per sviluppare app per Android e iOS impiegato anche per creare questo attacco.
Qui di seguito riportiamo la lista delle 13 app infette con Xamalicious: se sono installate nel vostro terminale sono da rimuovere subito:
- Essential Horoscope for Android
- 3D Skin Editor for PE Minecraft
- Logo Maker Pro
- Auto Click Repeater
- Count Easy Calorie Calculator
- Sound Volume Extender
- LetterLink
- Numerology: personal horoscope &number predictions
- Step Keeper: Easy Pedometer
- Track Your Sleep
- Sound Volume Booster
- Astrological Navigator: Daily Horoscope & Tarot
- Universal Calculator
I ricercatori McAfee consigliano agli utenti Android di scaricare e installare app solo da store e fonti sicure, oltre a raccomandare l’installazione di un software di sicurezza, come per esempio McAfee Mobile Security.
Tutte le novità sull’universo Android sono disponibili nella sezione dedicata di macitynet.
