O malware Android XLoader agora pode ser auto-executado após a instalação
9 de Fevereiro de 2024

Uma nova versão do malware XLoader para Android foi descoberta que executa automaticamente em dispositivos que infecta, não requerendo nenhuma interação do usuário para ser lançada.

O XLoader, também conhecido como MoqHao, é um malware para Android operado e provavelmente criado por um ator de ameaças motivado financeiramente chamado 'Roaming Mantis', já visando usuários nos EUA, Reino Unido, Alemanha, França, Japão, Coreia do Sul e Taiwan.

Os invasores distribuem principalmente o malware por meio de mensagens de texto SMS que contém uma URL (encurtada) apontando para um site que entrega um arquivo de instalação APK do Android para um aplicativo móvel.

Pesquisadores da McAfee relatam que variantes recentes do XLoader demonstram a capacidade de ser lançado automaticamente após a instalação.

Isso permite que o malware seja executado discretamente em segundo plano e sugue informações sensíveis do usuário, entre outras coisas.

"Enquanto o aplicativo está instalado, sua atividade maliciosa começa automaticamente," explica a McAfee, uma parceira da Aliança de Defesa de Aplicativos Android.

"Já relatamos essa técnica ao Google e eles já estão trabalhando na implementação de mitigações para impedir esse tipo de execução automática em uma versão futura do Android."

Para ofuscar ainda mais o aplicativo malicioso, o Roaming Mantis utiliza strings Unicode para disfarçar os APKs maliciosos como software legítimo, notavelmente, o navegador web Chrome.

Esta personificação é vital para o próximo passo, que é enganar o usuário a aprovar permissões arriscadas no dispositivo, como enviar e acessar conteúdo de SMS, e ser autorizado a 'sempre executar em segundo plano' adicionando uma exclusão da Otimização de Bateria do Android.

O falso aplicativo Chrome também pede ao usuário para definir-se como o aplicativo de SMS padrão, alegando que isso ajudará a prevenir spam.

As mensagens pop-up usadas neste passo estão disponíveis em inglês, coreano, francês, japonês, alemão e hindi, o que indica os alvos atuais do XLoader.

A recente iteração do XLoader cria canais de notificação para realizar ataques de phishing personalizados no dispositivo.

Ele extrai mensagens de phishing e URLs de destino de perfis no Pinterest, provavelmente para evitar a detecção de ferramentas de segurança que monitoram fontes de tráfego suspeitas.

Além disso, usar o Pinterest permite aos invasores alternar destinos e mensagens de phishing em tempo real sem correr o risco de enviar uma atualização para o malware no dispositivo.

Se isso falhar, o XLoader recorre ao uso de mensagens de phishing codificadas que alertam o usuário para um problema com sua conta bancária que requer que eles tomem providências.

Além disso, o malware pode executar uma ampla gama de comandos (20 no total) recebidos de seu servidor de comando e controle (C2) via protocolo WebSocket.

Os comandos XLoader mais importantes são:

get_photo: Transmite todas as fotos para o servidor de controle, arriscando violações significativas de privacidade.

getSmsKW: Envia todas as mensagens SMS para o servidor de controle, arriscando a privacidade por potencialmente expor informações sensíveis.

sendSms: Permite que o malware envie mensagens SMS, espalhando o malware ou permitindo phishing por personificação.

gcont: Exporta toda a lista de contatos para o servidor de controle, arriscando violações de privacidade e permitindo phishing direcionado.

getPhoneState: Coleta identificadores de dispositivo (IMEI, número SIM, ID Android, número de série), permitindo rastreamento.

http: Facilita o envio de solicitações HTTP para download de malware, exfiltração de dados ou comunicação C2.

Desde sua aparição na cena de ameaças móveis em 2015, o XLoader evoluiu consistentemente suas metodologias de ataque, aprimorando suas capacidades de furtividade e eficácia.

A McAfee adverte que as novas variantes do XLoader podem ser particularmente eficazes, pois exigem interação mínima do usuário.

Considerando que o malware se esconde sob o disfarce do Chrome, a McAfee sugere o uso de um produto de segurança que possa escanear o dispositivo e erradicar essas ameaças com base em indicadores conhecidos.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...