McAfeeは12月22日(米国時間)、「Stealth Backdoor “Android/Xamalicious” Actively Infecting Devices|McAfee Blog」において、Androidを標的とするマルウェア「Xamalicious」を発見したとして、注意を呼び掛けた。McAfeeは25種類のアプリにこのマルウェアが含まれていることを特定。これらアプリはすでに公式のGoogle Playストアから削除されている。

  • Stealth Backdoor “Android/Xamalicious” Actively Infecting Devices|McAfee Blog

    Stealth Backdoor “Android/Xamalicious” Actively Infecting Devices|McAfee Blog

マルウェアを含むアプリは32万台のデバイスにインストール

McAfeeによると、このマルウェアを含む悪意のあるアプリは公式のGoogle Playストアから少なくとも32万7,000台のデバイスにインストールされたという。これらアプリをインストールすると、マルウェアはデバイスを侵害するためにアクセシビリティサービスの権限をユーザーに要求する。

権限を取得すると攻撃者のコマンド&コントロール(C2: Command and Control)サーバへ接続し、環境を検査して問題なければ第2段階のペイロードをダウンロードする。第2段階のペイロードはすでに取得されているアクセシビリティサービスを使用できるため、許可を求めることなくデバイスを完全に侵害する可能性がある。

  • Xamaliciousが第2段階のペイロードを取得する手順 - 提供:McAfee

    Xamaliciousが第2段階のペイロードを取得する手順 引用:McAfee

また、McAfeeはこのマルウェアに「Cash Magnet」と呼ばれる広告詐欺アプリとの関連性を発見している。このアプリは広告の自動クリック、アプリのダウンロード、その他アフェリエイトの収益につながるタスクを実行する。このマルウェアに感染すると、これらタスクを通じて攻撃者に利益をもたらす可能性がある。

Xamaliciousを含む悪意のあるアプリの一覧

McAfeeがこれまでに確認したXamaliciousを含む悪意のあるアプリの一部は次のとおり。

  • Essential Horoscope for Android
  • 3D Skin Editor for PE Minecraft
  • Logo Maker Pro
  • Auto Click Repeater
  • Count Easy Calorie Calculator
  • Sound Volume Extender
  • LetterLink
  • NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS
  • Step Keeper: Easy Pedometer
  • Track Your Sleep
  • Sound Volume Booster
  • Astrological Navigator: Daily Horoscope & Tarot
  • Universal Calculator

このマルウェアは主に米国、ブラジル、アルゼンチン、英国、スペイン、ドイツのユーザーに被害を与えたとみられている。McAfeeはこのようなマルウェアからデバイスを保護するために、アクセシビリティサービスの許可を求めるアプリの利用を避けることを推奨している。