'Xamalicious' adlı daha önce bilinmeyen bir Android arka kapı, Android'in resmi uygulama mağazası Google Play'deki kötü amaçlı uygulamalar aracılığıyla yaklaşık 338.300 cihazı enfekte etti.
Uygulama Savunma İttifakı üyesi McAfee, Google Play'de 14 enfekte edilmiş uygulama keşfetti ve üçü her biri 100.000 kurulum yaptı.
Uygulamalar o zamandan beri Google Play'den kaldırılmış olsa da, 20120 ortasından beri yükleyen kullanıcılar hala telefonlarında aktif xamalicious enfeksiyonları taşıyabilir, manuel taramalar ve temizlik gerektirir.
Xamalicious uygulamalarının en popüler olanı şunlardır:
Ayrıca, indirilebilir APK (Android Package) dosyaları aracılığıyla kullanıcıları enfekte eden resmi olmayan üçüncü taraf uygulama mağazalarına dağıtılmayan Xamalicious tehdidini taşıyan ayrı bir 12 kötü amaçlı uygulama seti.
McAfee'nin telemetri verilerine göre, çoğu enfeksiyon ABD, Almanya, İspanya, İngiltere, Avustralya, Brezilya, Meksika ve Arjantin'deki cihazlara kuruldu.
Xamalicious, açık kaynaklı Xamarin çerçevesi kullanılarak geliştirilen ve kodunun analizini daha zor hale getiren uygulamalarda gömülü ('core.dll' ve 'googleservice.dll' şeklinde) .NET tabanlı bir Android Backdoor'dur.
Kurulum üzerine, erişilebilirlik hizmetine erişim ister, navigasyon jestleri gibi ayrıcalıklı eylemler gerçekleştirmesini, ekrandaki öğeleri gizlemesini ve kendine ek izin vermesini sağlar.
Kurulumdan sonra, belirli coğrafi, ağ, cihaz yapılandırması ve kök durumu önkoşulları karşılanırsa, ikinci aşama DLL yükünü ('cache.bin') almak için C2 (komut ve kontrol) sunucusu ile iletişim kurar.
Kötü amaçlı yazılım aşağıdaki komutları yürütebilir:
McAfee ayrıca Xamalicious ile 'Cash Magnet' adlı bir reklam fraud uygulaması arasında, operatörleri için gelir elde etmek için reklamları otomatik olarak tıklatan ve kurbanın cihazına reklam yazılımı yükleyen bağlantılar buldu.
Bu nedenle, Xamalicious'un enfekte olmuş cihazlarda reklam sahtekarlığı, işlemci performansını ve ağ bant genişliğini azaltması da mümkündür.
Google Play, kötü amaçlı yazılım yüklemelerine karşı bağışık olmasa da, App Defense Alliance gibi girişimler, resmi olmayan ve zayıf ılımlı platformlarda durum böyle olmayan App Store'da görünen yeni tehditleri tespit etmeyi ve kaldırmayı amaçlamaktadır.
Android kullanıcıları, üçüncü taraf kaynaklardan uygulamaları indirmekten kaçınmalı, kendilerini temel uygulamalarla sınırlandırmalı, yüklemeden önce kullanıcı incelemelerini iyice okumalı ve mobil cihazlarındaki kötü amaçlı yazılım enfeksiyonlarını sınırlamak için uygulamanın geliştiricisi/yayıncısı hakkında kapsamlı bir arka plan kontrolü yapmalıdır.
Google Play, Android VPN uygulamaları için güvenlik denetim rozetleri ekliyor
Avast, Google uygulamasını Android telefonlarda kötü amaçlı yazılım olarak etiketlediğini doğrular
Huawei, Vivo Telefonlar Google Uygulamasını Trojansms-Pa kötü amaçlı yazılım olarak etiketle
Android kötü amaçlı yazılım bukalemun, pimleri çalmak için parmak izi kilidini devre dışı bırakır
2023'te on yeni Android Bankacılık Truva atı 985 banka uygulamasını hedef aldı
Kaynak: Bleeping Computer