Investigadores de seguridad de McAfee han descubierto una variante nueva y más peligrosa del XLoader software malicioso para Android. Puede iniciarse automáticamente en dispositivos Android infectados sin interacción del usuario. Esta técnica permite que el malware ejecute actividades maliciosas tan pronto como se instala.
Android XLoader se vuelve más peligroso con la técnica de ejecución automática
XLoader, también conocido como MoqHao, es un conocido Androide familia de malware que existe desde al menos 2015. Operada por el grupo de actores de amenazas Roaming Mantis, esta cepa de malware se ha utilizado anteriormente para apuntar a usuarios de Android en Francia, Alemania, Japón, Corea del Sur, Taiwán, el Reino Unido y Estados Unidos.
El equipo de investigación móvil de McAfee descubrió recientemente que MoqHao ha comenzado distribuyendo una nueva variante del malware utilizando una técnica de ejecución automática identificada por primera vez en julio de 2022. El método de distribución es el mismo: los atacantes envían mensajes de texto que contienen un enlace abreviado para descargar la aplicación maliciosa a las víctimas potenciales.
Si un usuario desprevenido hace clic en el enlace y procede a instalar la aplicación, disfrazado de Google Chrome, inmediatamente son víctimas del ataque. A diferencia de las variantes anteriores, que requerían que los usuarios abrieran la aplicación antes de que el malware se activara, la nueva variante XLoader puede iniciarse automáticamente después de la instalación.
Esta técnica permite que el malware ejecute actividades maliciosas en segundo plano sin interacción del usuario. Dado que la aplicación está disfrazada de Google Chrome, ayuda además a evitar la detección. Engaña a los usuarios para que otorguen permiso para ejecutar siempre la aplicación en segundo plano y acceder a archivos, mensajes y más. El malware incluso pide a los usuarios que se establezcan como aplicación de mensajería predeterminada, afirmando que ayudará a prevenir el spam.
Los atacantes han seleccionado este mensaje emergente en inglés, coreano, francés, japonés, alemán e hindi. Esta es una indicación de sus objetivos actuales. Una vez el El proceso de inicialización es completo, el malware voluntad crear un canal de notificación para mostrar mensajes de phishing. Él comprueba el operador del dispositivo y ajusta automáticamente los mensajes de phishing. “MoqHao obtiene el mensaje de phishing y la URL de phishing desde el perfil de Pinterests”, informa McAfee.
El malware puede ejecutar una amplia gama de comandos.
Si el truco de Pinterest falla, XLoader utiliza mensajes de phishing codificados que muestran un problema con la cuenta bancaria del usuario. Insta al usuario a tomar medidas inmediatas. El atacante también puede ejecutar una amplia gama de comandos de forma remota. McAfee informó 20 comandos que el malware puede recibir desde su servidor de comando y control (C2) a través del protocolo WebSocket.
Algunos de los comandos más peligrosos incluyen enviar todas las fotos al servidor de control, enviar todos los mensajes al servidor de control, enviar nuevos mensajes a los contactos, exportar contactos guardados, recopilar IMEI, número SIM, ID de Android, número de serie y otros identificadores de dispositivo. enviar solicitudes HTTP para descargar más malware y más.
Según McAfee, los dispositivos Android con servicios de Google Play, que tienen Google Play Protect habilitado por Por defecto, están protegidos contra este malware. Sin embargo, siempre es una práctica segura descargar únicamente aplicaciones de fuentes conocidas, como Google Play Store. Según se informa, Google también está trabajando en una forma de evitar este tipo de ejecución automática en una versión futura de Android, posiblemente Android 15.