Android/Xamalicious es un malware que puede tomar el control total del celular y realizar acciones fraudulentas. Este programa malicioso se esconde en al menos 13 apps que se descargaron más de 300 mil veces en varios países, incluyendo a México.
Cuidado con estas 13 apps con malware Xamalicious
El malware Xamalicious se esconde en la tienda de apps Google Play y los usuarios descargan aplicaciones maliciosas sin darse cuenta, según McAfee, compañía de seguridad informática.
Los investigadores encontraron 25 apps en la tienda de Android con este malware. Sin embargo, dieron a conocer el nombre de las 13 aplicaciones maliciosas que más fueron instaladas en el mundo.
- Essential Horoscope for Android – 100 mil instalaciones
- 3D Skin Editor for PE Minecraft – 100 mil instalaciones
- Logo Maker Pro – 100 mil instalaciones
- Auto Click Repeater – 10 mil instalaciones
- Count Easy Calorie Calculator – 10 mil instalaciones
- Sound Volume Extender – 5 mil instalaciones
- LetterLink – Mil instalaciones
- NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS – Mil instalaciones
- Step Keeper: Easy Pedometer – 500 instalaciones
- Track Your Sleep – 500 instalaciones
- Sound Volume Booster – 100 instalaciones
- Astrological Navigator: Daily Horoscope & Tarot – 100 instalaciones
- Universal Calculator – 100 instalaciones
Google Play borró las apps previamente mencionadas. Sin embargo, esto no significa que hayan sido eliminadas de los dispositivos en los que fueron descargadas previamente.
Por esta razón, se recomienda que, aquellos usuarios que aún las tengan instaladas en su dispositivo Android, las borren inmediatamente para evitar caer en los efectos de Xamalicious.
Otra aplicación fue vinculada a un fraude gracias a Xamalicious
Xamalicious también estaba presente LetterLink, una app que estaba disponible en Google Play a finales de 2020, representada con un icono de libro.
Se trataba de una versión oculta de Cash Magnet, una plataforma que realiza fraude publicitario con actividad automatizada de clics, descargas de aplicaciones y otras tareas que conducen a la monetización para el marketing de afiliación.
Publicado originalmente en 2019 en Google Play, Cash Magnet se describió como una aplicación de ingresos pasivos que ofrece a los usuarios ganar hasta 30 dólares por mes (equivalente a 511 pesos mexicanos) publicando anuncios automatizados.
LetterLink instala adware en los celulares infectados sin que lo sepa el usuario. A raíz de esta app, los dispositivos infectados redujeron su rendimiento y capacidad.
México, uno de los países afectados por este malware
En total, estas apps acumularon 327 mil instalaciones en casi 50 países, incluyendo a 15 naciones de Latinoamérica, entre ellos México, según la telemetría de McAfee.
Los usuarios más afectados se encuentran en el continente americano con mayor actividad en Estados Unidos, Brasil y Argentina. En Europa, afectaron principalmente al Reino Unido, España y Alemania.
Las 327 mil instalaciones de apps con malware detectadas por McAfee no contemplan las instalaciones provenientes de mercados de terceros que continuamente producen nuevas infecciones. “Esta amenaza sigue muy activa”, dice la empresa.
¿Cómo opera el malware Xamalicious?
Xamalicious es difícil de detectar. Su origen radica en el marco de trabajo Xamarin y se esconde dentro de archivos como GoogleService.dll y Core.dll.
Una vez se instalan las apps con el malware escondido dentro, a los usuarios les aparece una solicitud de permisos de accesibilidad en el terminal.
- Por la naturaleza de las aplicaciones en las que se esconde, lo más natural es aceptar la petición y otorgarle los permisos que está pidiendo.
Al aceptar la solicitud de permisos, la app puede actuar sin que nadie lo sepa. Posteriormente, accede a un archivo adicional que abre las puertas para que se puedan ejecutar distintos comandos a distancia de forma totalmente oculta.
Así es como las apps con malware toman el control del celular
A partir de ese momento, los atacantes pueden usar siete comandos con los que los hackers acceden a todo tipo de información y tomar el control del celular. Estos son cada uno de ellos:
- DevInfo
- Brinda información como la marca del dispositivo, así como su modelo, serie y la versión del sistema operativo.
- GeoInfo
- Descifra la ubicación del dispositivo según la dirección IP y si el dispositivo es un usuario real.
- EmuInfo
- Determina si el cliente afectado es un dispositivo real o un emulador.
- Rootinfo
- Detecta si un dispositivo está rooteado, es decir, si el usuario tiene el control total del mismo.
- Packages
- Ennumera las aplicaciones instaladas en el celular.
- Accessibility
- Informa si el dispositivo concede permisos de accesibilidad.
- GetURL
- Proporciona el ID de Android del usuario.
GetURL es una solicitud para la carga útil de la segunda etapa de ataque. Este utiliza los potentes servicios de accesibilidad otorgados durante la primera etapa para tomar el control total del dispositivo infectado.
Los expertos de McAfee recomiendan evitar el uso de aplicaciones que requieran servicios de accesibilidad a menos que exista una necesidad genuina de su uso.