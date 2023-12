Résumé :

Une porte dérobée Android dangereuse nommée « Xamalicious » a infecté des centaines de milliers d’appareils via des applications malveillantes sur Google Play, la boutique d’applications officielle d’Android. La porte dérobée, découverte par McAfee, a été supprimée de Google Play, mais les utilisateurs qui ont installé les applications infectées depuis mi-2020 peuvent toujours avoir l’infection Xamalicious sur leurs téléphones. McAfee a trouvé 14 applications infectées sur Google Play, dont trois comptant plus de 100 000 installations chacune. De plus, il existe 12 autres applications malveillantes distribuant Xamalicious via des boutiques d’applications tierces. La porte dérobée est capable d’exécuter diverses commandes et est potentiellement liée à une application de fraude publicitaire appelée « Cash Magnet ».

La porte dérobée Xamalicious pour Android :

Xamalicious est une porte dérobée Android basée sur .NET qui est intégrée aux applications développées à l’aide de la plateforme Xamarin. Cela rend plus difficile l’analyse de son code. Une fois installée, Xamalicious demande l’accès au service d’accessibilité, lui accordant des actions privilégiées sur l’appareil.

Communication avec le serveur C2 :

Après l’installation, Xamalicious communique avec un serveur de commande et de contrôle (C2) pour récupérer la charge utile du deuxième stade en DLL. Il vérifie certains prérequis spécifiques liés à la localisation géographique, au réseau, à la configuration de l’appareil et à l’état de root avant de récupérer la charge utile.

Capacités de Xamalicious :

Xamalicious a la capacité de collecter des informations sur l’appareil et le matériel, de déterminer la localisation géographique de l’appareil, de vérifier s’il s’agit d’un véritable appareil ou d’un émulateur, d’identifier si l’appareil est rooté, de répertorier les applications installées, de signaler l’état des autorisations des services d’accessibilité et de demander la charge utile du deuxième stade au serveur C2.

Activité possible de fraude publicitaire :

McAfee a trouvé des liens entre Xamalicious et une application de fraude publicitaire appelée « Cash Magnet ». Cela suggère que Xamalicious peut également effectuer des activités de fraude publicitaire sur les appareils infectés, ce qui affecte les performances de l’appareil et la bande passante du réseau.

Protéger votre appareil Android :

Pour limiter les risques d’infections par des logiciels malveillants sur votre appareil Android, il est important de suivre certaines meilleures pratiques. Évitez de télécharger des applications depuis des sources tierces, privilégiez les applications essentielles des développeurs réputés, lisez les avis des utilisateurs avant l’installation et effectuez une vérification approfondie de l’expéditeur ou du développeur de l’application. Bien que des initiatives telles que l’App Defense Alliance visent à détecter et supprimer les menaces sur Google Play, il est toujours important de rester prudent lorsque vous téléchargez des applications depuis des plateformes non officielles.

FAQ :

Q : Combien d’appareils ont été infectés par Xamalicious ?

R : Environ 338 300 appareils ont été infectés via des applications malveillantes sur Google Play, et il peut y avoir des infections supplémentaires provenant d’applications sur des boutiques d’applications tierces.

Q : Quels sont les pays les plus touchés par les infections de Xamalicious ?

R : Selon les données de télémesure de McAfee, les infections les plus courantes ont été constatées aux États-Unis, en Allemagne, en Espagne, au Royaume-Uni, en Australie, au Brésil, au Mexique et en Argentine.

Q : Quelles actions les utilisateurs d’Android devraient-ils prendre pour protéger leurs appareils ?

R : Les utilisateurs d’Android devraient télécharger uniquement des applications à partir de sources fiables comme Google Play, se limiter aux applications essentielles, lire attentivement les avis des utilisateurs avant l’installation et effectuer des vérifications de l’expéditeur ou du développeur de l’application.