Se descubrió una nueva versión del malware XLoader para Android que se ejecuta automáticamente en los dispositivos que infecta y no requiere interacción del usuario para iniciarse.
XLoader, también conocido como MoqHao, es un malware para Android operado y probablemente creado por un actor de amenazas con motivación financiera llamado Roaming Mantis que anteriormente se había visto dirigido a usuarios en EE. UU., Reino Unido, Alemania, Francia, Japón, Corea del Sur y Taiwán.
Los atacantes distribuyen principalmente el malware a través de texto SMS que contiene una URL (acortada) que apunta a un sitio que entrega un archivo de instalación APK de Android para una aplicación móvil.
Los investigadores de McAfee informan que las variantes recientes de XLoader demuestran la capacidad de iniciarse automáticamente después de la instalación. Esto permite que el malware se ejecute sigilosamente en segundo plano y extraiga información confidencial del usuario, entre otras cosas.
Para ofuscar aún más la aplicación maliciosa, Roaming Mantis emplea cadenas Unicode para disfrazar los APK maliciosos como software legítimo, en particular, el navegador web Chrome.
Esta suplantación es vital para el siguiente paso que consiste en engañar al usuario para que apruebe permisos riesgosos en el dispositivo, como enviar y acceder a contenido SMS y que se le permita “ejecutarse siempre en segundo plano” agregando una exclusión de la optimización de la batería de Android.
La aplicación falsa de Chrome también pide al usuario que se establezca como la aplicación de SMS predeterminada, afirmando que hacerlo ayudará a prevenir el spam.
Los mensajes emergentes utilizados en este paso están disponibles en inglés, coreano, francés, japonés, alemán e hindi, lo que indica los objetivos actuales de XLoader.
Operación del Malware
La versión reciente de XLoader crea canales de notificación para realizar ataques de phishing personalizados en el dispositivo.
Extrae mensajes de phishing y URL de destino de perfiles de Pinterest que probablemente evaden la detección de las herramientas de seguridad que monitorean fuentes de tráfico sospechosas.
Además, el uso de Pinterest permite a los atacantes cambiar destinos y mensajes de phishing sobre la marcha sin correr el riesgo de enviar una actualización del malware en el dispositivo.
Si eso falla, XLoader vuelve a utilizar mensajes de phishing codificados que alertan al usuario sobre un problema con su cuenta bancaria que le exige tomar medidas.
Además, el malware puede ejecutar una amplia gama de comandos (20 en total) recibidos de su servidor de comando y control (C2) a través del protocolo WebSocket.
Los comandos más importantes de XLoader son:
- get_photo: Transmite todas las fotos al servidor de control, con el riesgo de violaciones importantes de la privacidad.
- getSmsKW: envía todos los mensajes SMS al servidor de control, poniendo en riesgo la privacidad al exponer potencialmente información confidencial.
- sendSms: permite que el malware envíe mensajes SMS, difundiendo el malware o permitiendo el phishing mediante suplantación.
- gcont: Exporta toda la lista de contactos al servidor de control, lo que corre el riesgo de infringir la privacidad y permitir el phishing dirigido.
- getPhoneState: recopila identificadores de dispositivos (IMEI, número SIM, ID de Android, número de serie), permitiendo el seguimiento.
- http: facilita el envío de solicitudes HTTP para descargar malware, exfiltración de datos o comunicación C2.
Desde su aparición en la escena de las amenazas móviles en 2015, XLoader ha evolucionado constantemente sus metodologías de ataque, mejorando sus capacidades sigilosas y su eficacia.
McAfee advierte que las variantes más nuevas de XLoader pueden ser particularmente efectivas ya que requieren una interacción mínima del usuario.
Debes tener en cuenta que el malware se esconde bajo la apariencia de Chrome, McAfee sugiere utilizar un producto de seguridad que pueda escanear el dispositivo y eliminar esas amenazas basándose en indicadores conocidos.