McAfeeは12月22日(米国時間)、「Stealth Backdoor “Android/Xamalicious” Actively Infecting Devices|McAfee Blog」において、Androidを標的とするマルウェア「Xamalicious」を発見したとして、注意を呼び掛けた。McAfeeは25種類のアプリにこのマルウェアが含まれていることを特定。これらアプリはすでに公式のGoogle Playストアから削除されている。
-
Stealth Backdoor “Android/Xamalicious” Actively Infecting Devices|McAfee Blog
マルウェアを含むアプリは32万台のデバイスにインストール
McAfeeによると、このマルウェアを含む悪意のあるアプリは公式のGoogle Playストアから少なくとも32万7,000台のデバイスにインストールされたという。これらアプリをインストールすると、マルウェアはデバイスを侵害するためにアクセシビリティサービスの権限をユーザーに要求する。
権限を取得すると攻撃者のコマンド&コントロール(C2: Command and Control)サーバへ接続し、環境を検査して問題なければ第2段階のペイロードをダウンロードする。第2段階のペイロードはすでに取得されているアクセシビリティサービスを使用できるため、許可を求めることなくデバイスを完全に侵害する可能性がある。
-
Xamaliciousが第2段階のペイロードを取得する手順 引用:McAfee
また、McAfeeはこのマルウェアに「Cash Magnet」と呼ばれる広告詐欺アプリとの関連性を発見している。このアプリは広告の自動クリック、アプリのダウンロード、その他アフェリエイトの収益につながるタスクを実行する。このマルウェアに感染すると、これらタスクを通じて攻撃者に利益をもたらす可能性がある。
Xamaliciousを含む悪意のあるアプリの一覧
McAfeeがこれまでに確認したXamaliciousを含む悪意のあるアプリの一部は次のとおり。
- Essential Horoscope for Android
- 3D Skin Editor for PE Minecraft
- Logo Maker Pro
- Auto Click Repeater
- Count Easy Calorie Calculator
- Sound Volume Extender
- LetterLink
- NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS
- Step Keeper: Easy Pedometer
- Track Your Sleep
- Sound Volume Booster
- Astrological Navigator: Daily Horoscope & Tarot
- Universal Calculator
このマルウェアは主に米国、ブラジル、アルゼンチン、英国、スペイン、ドイツのユーザーに被害を与えたとみられている。McAfeeはこのようなマルウェアからデバイスを保護するために、アクセシビリティサービスの許可を求めるアプリの利用を避けることを推奨している。
