Аналитики из компании McAfee выявили новый вредоносный бэкдор для Android, получивший название Xamalicious . По информации специалистов, он был разработан на основе открытой мобильной платформы Xamarin и использует разрешения доступа в операционной системе для достижения своих целей. Xamalicious собирает метаданные о системе и связывается с командным сервером для получения вторичной вредоносной нагрузки. Но сначала программа проверяет, подходит ли устройство злоумышленникам для их мошеннических операций. Второй вредоносный модуль внедряется незаметно в виде DLL-библиотеки и позволяет хакерам получить полный доступ и контроль над зараженным смартфоном. После захвата контроля бэкдор может тайно выполнять различные мошеннические действия: имитировать клики по рекламе, устанавливать приложения без ведома пользователя, собирать конфиденциальные данные и другие команды, позволяющие получать незаконную прибыль. Специалисты McAfee выявили 25 приложений с активной угрозой Xamalicious. Некоторые из них распространялись через официальный магазин Google Play с середины 2020 года и были установлены более 327 000 раз. Среди зараженных программ есть как популярные приложения для гороскопов и гаданий, так и утилиты для настройки звука, калькуляторы, счетчики шагов и другие повседневные инструменты. Для сокрытия своей активности преступники тщательно шифруют всю связь между зараженным устройством и командным сервером. Помимо HTTPS-шифрования, используется JSON Web Encryption с алгоритмом RSA-OAEP. Согласно заявлению McAfee, была установлена связь между вредоносной программой Xamalicious и приложением Cash Magnet, предназначенным для мошенничества с интернет-рекламой. Cash Magnet используется для массовых скачиваний приложений и имитации кликов по баннерам. По словам исследователей McAfee, использование нестандартных языков и фреймворков, таких как Flutter, React Native и Xamarin, помогает разработчикам вредоносов оставаться незамеченными. Компания Google заверила, что технологии Play Protect защищают пользователей Android как в магазине приложений, так и за его пределами. Если приложение с этой угрозой уже было установлено, владелец смартфона получит предупреждение, и оно будет автоматически удалено с устройства. Попытка установки будет заблокирована на стадии проверки. Раскрытие информации о Xamalicious совпало с сообщениями McAfee о другой атаке на индийских пользователей с применением банковского трояна. Злоумышленники распространяют вредоносные программы, маскируя их под банковские приложения, через WhatsApp. Жертв обманом заставляют установить эти программы и предоставить доступ к СМС, после чего мошенники без труда получают учетные данные для доступа к счетам и совершения несанкционированных транзакций. По мнению специалистов McAfee, Индия демонстрирует высокий уровень уязвимости к этому банковскому трояну, хотя случаи заражения были обнаружены и в других странах.