El mundo de la ciberseguridad está en constante evolución, con amenazas emergentes que desafían continuamente las medidas de seguridad existentes. Un reciente ejemplo de esta dinámica es el descubrimiento del malware XamaLicious en Google Play, que ha sido instalado más de 330,000 veces.
Una recién descubierta puerta trasera de Android llamada 'Xamalicious' ha afectado a aproximadamente 338,300 dispositivos a través de aplicaciones maliciosas disponibles en Google Play, la tienda oficial de aplicaciones de Android.
McAfee, que forma parte de la App Defense Alliance, identificó 14 aplicaciones infectadas en Google Play, tres de las cuales contaban con 100,000 instalaciones cada una.
Aunque estas aplicaciones han sido eliminadas de Google Play, los usuarios que las instalaron desde mediados de 2020 podrían seguir teniendo infecciones activas de Xamalicious en sus dispositivos, lo que requeriría un análisis y limpieza manuales.
Entre las aplicaciones más populares afectadas por Xamalicious se encuentran:
Además, hay un conjunto adicional de 12 aplicaciones maliciosas que portan la amenaza Xamalicious y se distribuyen en tiendas de aplicaciones de terceros no oficiales. No se disponen de estadísticas de descarga para estas aplicaciones, pero infectan a los usuarios a través de archivos APK (paquetes de Android) descargables.
Según los datos de telemetría de McAfee, la mayoría de las infecciones se han registrado en dispositivos de Estados Unidos, Alemania, España, Reino Unido, Australia, Brasil, México y Argentina.
Te podrá interesar leer: Riesgos en Aplicaciones:¿Cómo evitar el Malware Móvil?
Xamalicious es una puerta trasera de Android que se basa en .NET y se integra en aplicaciones desarrolladas con el marco de código abierto Xamarin, presentando un desafío adicional para el análisis de su código. Esta puerta trasera se introduce en forma de 'Core.dll' y 'GoogleService.dll'.
Una vez instalada, Xamalicious solicita acceso al Servicio de Accesibilidad, lo que le permite llevar a cabo acciones privilegiadas, como ejecutar gestos de navegación, ocultar elementos en la pantalla y otorgarse permisos adicionales.
Posteriormente, establece comunicación con un servidor C2 (comando y control) para recuperar la carga útil de la DLL de segunda etapa ('cache.bin') si se cumplen requisitos específicos relacionados con la ubicación geográfica, la red, la configuración del dispositivo y el estado del acceso root.
Te podrá interesar leer: Desentrañando el Mundo de la Ciberseguridad C2
Este malware tiene la capacidad de ejecutar diversos comandos, incluyendo:
DevInfo: Recopila información del dispositivo y del hardware, incluyendo el ID de Android, marca, CPU, modelo, versión del sistema operativo, idioma, estado de las opciones de desarrollador, detalles de la tarjeta SIM y firmware.
GeoInfo: Determina la ubicación geográfica del dispositivo utilizando la dirección IP, obteniendo información sobre el proveedor de servicios de Internet (ISP), la organización, los servicios y una puntuación de fraude para detectar usuarios no auténticos.
EmuInfo: Verifica si el dispositivo es un emulador o un dispositivo real, examinando la CPU, la memoria, los sensores, la configuración USB y el estado de ADB.
RootInfo: Identifica si el dispositivo está rooteado mediante varios métodos y proporciona información sobre el estado de rooteo.
Paquetes: Enumera todas las aplicaciones del sistema y de terceros instaladas en el dispositivo mediante comandos del sistema.
Accesibilidad: Informa sobre el estado de los permisos de los servicios de accesibilidad.
GetURL: Solicita la carga útil de la segunda etapa del servidor C2 proporcionando el ID de Android y recibe el estado, potencialmente obteniendo una DLL de ensamblaje cifrada.
Además, se descubrió vínculos entre Xamalicious y una aplicación de fraude publicitario llamada 'Cash Magnet', que realiza clics automáticos en anuncios e instala adware en los dispositivos de las víctimas para generar ingresos para los operadores.
Por lo tanto, es posible que Xamalicious también se involucre en actividades fraudulentas de publicidad en dispositivos infectados, lo que puede reducir el rendimiento del procesador y el ancho de banda de la red.
Para protegerse, los usuarios de Android deben evitar descargar aplicaciones de fuentes de terceros, limitarse a las aplicaciones esenciales, revisar detenidamente las reseñas de otros usuarios antes de instalar una aplicación y realizar una verificación exhaustiva de los antecedentes del desarrollador o editor de la aplicación para reducir el riesgo de infecciones de malware en sus dispositivos móviles.
Te podrá interesar leer: Spyware: ¿Qué es y Cómo Detectarlo?
El caso de XamaLicious destaca la importancia de mantener una vigilancia constante en el ámbito de la ciberseguridad. Aunque las plataformas como Google Play generalmente son seguras, no están exentas de ser blanco de ciberdelincuentes. La responsabilidad de la seguridad digital es compartida: mientras las empresas deben fortalecer sus protocolos de seguridad, los usuarios deben tomar medidas proactivas para proteger sus dispositivos.
Este incidente sirve como un recordatorio crucial de que, en el mundo digital de hoy, la seguridad y la privacidad deben ser prioridades tanto para los desarrolladores de aplicaciones como para los usuarios. Al mantenerse informados y adoptar prácticas de seguridad sólidas, podemos trabajar juntos para crear un entorno digital más seguro.