Une porte dérobée Android inconnue auparavant nommée « Xanalicious » a infecté environ 338 300 appareils via des applications malveillantes sur Google Play, la boutique d’applications officielle d’Android.
McAfee, membre de l’App Defense Alliance, a découvert 14 applications infectées sur Google Play, dont trois avec 100 000 installations chacune.
Même si les applications ont depuis été supprimées de Google Play, les utilisateurs qui les ont installées depuis la mi-2020 peuvent toujours porter des infections Xamalicious actives sur leurs téléphones, nécessitant des analyses manuelles et un nettoyage.
Les applications malveillantes les plus populaires sont les suivantes:
- Horoscope essentiel pour Android – 100 000 installations
- Éditeur de skin 3D pour PE Minecraft – 100 000 installations
- Créateur de logo Pro – 100 000 installations
- Répéteur de clic automatique – 10 000 installations
- Calculateur de calories Facile à compter – 10 000 installations
- Dots: Connecteur à une ligne – 10 000 installations
- Amplificateur de volume sonore – 5 000 installations
De plus, un ensemble distinct de 12 applications malveillantes portant la menace Xamalicious, pour lesquelles les statistiques de téléchargement ne sont pas disponibles, sont distribuées sur des magasins d’applications tiers non officiels, infectant les utilisateurs via des fichiers APK téléchargeables (package Android).
Selon les données de télémétrie de McAfee, la plupart des infections ont été installées sur des appareils aux États-Unis, en Allemagne, en Espagne, au Royaume-Uni, en Australie, au Brésil, au Mexique et en Argentine.
La porte dérobée Android malveillante
Xamalicious est une porte dérobée Android basée sur. NET intégrée (sous la forme de ‘Core.dll ‘ et ‘ GoogleService.dll’) dans les applications développées à l’aide du framework open source Xamarin, ce qui rend l’analyse de son code plus difficile.
Lors de l’installation, il demande l’accès au service d’accessibilité, ce qui lui permet d’effectuer des actions privilégiées telles que des gestes de navigation, de masquer des éléments à l’écran et de s’accorder des autorisations supplémentaires.
Après l’installation, il communique avec le serveur C2 (commande et contrôle) pour récupérer la charge utile de la DLL de deuxième étape (‘cache.bin’) si les conditions géographiques, de réseau, de configuration de périphérique et d’état racine spécifiques sont remplies.
Le logiciel malveillant est capable d’exécuter les commandes suivantes:
- DevInfo: Rassemble des informations sur l’appareil et le matériel, y compris l’IDENTIFIANT Android, la marque, le processeur, le modèle, la version du système d’exploitation, la langue, l’état des options du développeur, les détails de la carte SIM et le micrologiciel.
- Informations géographiques: Détermine l’emplacement géographique de l’appareil à l’aide de son adresse IP, en collectant le nom du FAI, l’organisation, les services et un score de fraude pour détecter les utilisateurs non authentiques.
- EmuInfo: Les listes ajoutent des propriétés pour déterminer si le client est un périphérique réel ou un émulateur, en vérifiant le processeur, la mémoire, les capteurs, la configuration USB et l’état de la BAD.
- Informations sur la racine: Identifie si l’appareil est enraciné à l’aide de diverses méthodes et fournit l’état d’enracinement.
- Packages: Répertorie toutes les applications système et tierces installées sur l’appareil à l’aide des commandes système.
- Accessibilité: Indique l’état des autorisations des services d’accessibilité.
- getURL: Demande la charge utile de la deuxième étape au serveur C2 en fournissant l’IDENTIFIANT Android et reçoit le statut et potentiellement une DLL d’assemblage chiffrée.
McAfee a également trouvé des liens entre des logiciels malveillants et une application de fraude publicitaire appelée « Cash Magnet », qui clique automatiquement sur les publicités et installe des logiciels publicitaires sur l’appareil de la victime pour générer des revenus pour ses opérateurs.
Par conséquent, il est possible qu’un logiciel malveillant effectue également une fraude publicitaire sur les appareils infectés, diminuant les performances du processeur et la bande passante du réseau.
Bien que Google Play ne soit pas à l’abri des téléchargements de logiciels malveillants, des initiatives telles que l’App Defense Alliance visent à détecter et à supprimer les nouvelles menaces qui apparaissent sur l’app Store, ce qui n’est pas le cas sur les plateformes non officielles et mal modérées.
Les utilisateurs d’Android doivent éviter de télécharger des applications à partir de sources tierces, se limiter aux applications essentielles, lire attentivement les avis des utilisateurs avant l’installation et effectuer une vérification complète des antécédents du développeur/éditeur de l’application pour limiter les infections de logiciels malveillants sur leurs appareils mobiles.