A finales del año pasado analistas de ciberseguridad en McAfee anunciaron que encontraron una puerta trasera de Android, «Android/Xamalicious«, que usa el framework Xamarin (Plataforma de desarrollo móvil para crear apps en iOS, Android y Windows.) para infectar dispositivos y tomar el control total.
El malware se hace pasar por aplicaciones inocentes relacionadas con la salud, los juegos, el horóscopo y la productividad e infectar dispositivos móviles para tomar el control total con fines ilícitos como:
- Robar información confidencial
- Generación de transacciones financieras no autorizadas
- Habilitación de ataques remotos
Al obtener un control completo, los actores de amenazas pueden explotar el dispositivo para sus actividades ilícitas, lo que representa amenazas significativas para la privacidad del usuario, seguridad del usuario
El virus tampoco actúa solo. Los investigadores de McAfee encontraron un enlace a una aplicación de publicidad llamada, Cash Magnet, que Xamalicious puede instalar. Esa aplicación hace clic automáticamente en anuncios, instala aplicaciones, envía mensajes y otras acciones para robar dinero de manera fraudulenta.
¿Qué es Xamalicious y cómo actúa?
Xamalicious es un malware que se aprovecha de las funciones de accesibilidad de Android, que están diseñadas para ayudar a las personas con discapacidad a usar sus dispositivos. Al pedir permiso para acceder a estas funciones, Xamalicious podía manipular la pantalla del dispositivo de forma remota, sin que el usuario se diera de cuenta.
Los usuarios deben activar manualmente los servicios de accesibilidad después de varias advertencias del sistema operativo, como las siguientes en las opciones de accesibilidad:
Una vez dentro, desencadena un control total sobre tu teléfono, utilizando funciones normalmente bloqueadas. Su táctica incluye un escaneo minucioso en busca de información valiosa, como sistema operativo, ubicación, contactos y contraseñas. Mediante un código ejecutable, toma las riendas del dispositivo para extraer la información que necesita.
“Evite el uso de aplicaciones que requieran servicios de accesibilidad a menos que exista una necesidad genuina de uso. Si una nueva aplicación intenta convencerle de que active los servicios de accesibilidad alegando que es necesario sin una razón real y razonable y solicitando que ignore la advertencia del sistema operativo, entonces es una señal de alerta”, aconsejan los expertos de McAfee.
Aplicaciones afectadas
Hasta el momento, McAfee identificó 25 aplicaciones que contienen la amenaza, 13 de las cuales se distribuyeron en Google Play, algunas desde 2020. Tres de estas aplicaciones ya se habían instalado en más de 100,000 dispositivos antes de que los expertos de McAfee consiguieran su eliminación por parte de Google. Es importante destacar que la eliminación de una aplicación por parte de Google no la borra de tu dispositivo. Si encuentras alguna de las siguientes aplicaciones instaladas, elimínalas de inmediato.
Esta es la lista de todas las aplicaciones (y sus respectivos nombres de paquete) que se han publicado en Google Play, junto con el número de descargas que han obtenido.
- Horóscopo Esencial para Android (om.anomenforyou.essentialhoroscope) – 100.000 descargas
- Editor de máscaras 3D para PE Minecraft (com.littleray.skineditorforpeminecraft) – 100.000
- Logo Maker Pro (com.vyblystudio.dotslinkpuzzles) – 100.000
- Repetidor de clic automático (com.autoclickrepeater.free) – 10,000
- Calculadora fácil de contar calorías (com.lakhinstudio.counteasycaloriecalculator) – 10,000
- Extensor de volumen de sonido (com.muranogames.easyworkoutsathome) – 5000
- LetterLink ( com.regaliusgames.llinkgame) – 1000
- NUMEROLOGÍA: HORÓSCOPO PERSONAL Y PREDICCIONES DE NÚMEROS (com.Ushak.NPHOROSCOPENUMBER) – 1000
- Step Keeper: Podómetro fácil (com.browgames.stepkeepereasymeter) – 500
- Realice un seguimiento de su sueño (com.shvetsStudio.trackYourSleep) – 500
- Amplificador de volumen de sonido (com.devapps.soundvolumebooster) – 100
- Navegador Astrológico: Horóscopo y Tarot Diario (com.Osinko.HoroscopeTaro) – 100
- Calculadora universal (com.Potap64.universalcalculator) – 100
Aunque estas aplicaciones se han retirado de la tienda, eso no protege a las personas que ya las instalaron. Para estar seguros, deben desinstalar estas aplicaciones de sus dispositivos Android, ya sean teléfonos, tabletas o Chromebooks.
Lee también: Investigadores crean una empresa de software conformado solo por inteligencia artificial
Según McAfee, las 25 aplicaciones con este malware se han distribuido en Google Play desde mediados de 2020 y han infectado al menos a 327.000 dispositivos, sin contar las descargas desde otras fuentes. Los países más afectados por Xamalicious son EE. UU., Brasil y Argentina, pero también hay casos reportados en el Reino Unido, España y Alemania.
Además de las 25 aplicaciones que se distribuyeron en Google Play, se encontraron otras 11 aplicaciones infectadas con Xamalicious en sitios web no oficiales. Estas aplicaciones solo podían instalarse manualmente mediante archivos APK, por lo que el número de dispositivos afectados fue menor.
Los investigadores descubrieron que las aplicaciones maliciosas que analizaron se habían desarrollado con Xamarin, un framework de código abierto que facilita la creación de aplicaciones para Android e iOS usando .NET y C#.
El nombre del malware, Xamalicious, se debe a esto, pero también puede ser una razón por la que algunas de las aplicaciones, que se publicaron por primera vez en Google Play Store en 2020, pasaron tanto tiempo sin ser detectadas.
Los investigadores afirman: “Los autores de malware pueden usar herramientas como Flutter, React Native y Xamarin, que permiten escribir aplicaciones de Android en un código distinto de Java, para ocultar mejor sus actividades maliciosas y evitar que los proveedores de seguridad las descubran y las eliminen de las tiendas de aplicaciones”.
La información es libre, pero investigar en profundidad, analizar datos y escribir en un lenguaje sencillo toma tiempo, apoya a nuestros editores a través de:
