Telah ditemukan backdoor Android baru yang memiliki kemampuan kuat untuk melakukan berbagai aksi jahat pada perangkat yang terkena infeksi. Malware ini, yang diberi nama Xamalicious oleh Tim Riset Seluler McAfee, dikembangkan menggunakan kerangka kerja aplikasi seluler open source yang disebut Xamarin dan menyalahgunakan izin aksesibilitas OS untuk mencapai tujuannya.
Xamalicious mampu mengumpulkan metadata tentang perangkat yang disusupi dan berkomunikasi dengan server perintah dan kontrol (C2) untuk mengunduh payload tahap kedua, tetapi hanya setelah memastikan bahwa payload tersebut sesuai dengan kebutuhan. Tahap kedua “dimasukkan secara dinamis sebagai DLL assembly pada runtime untuk mengambil kendali penuh atas perangkat dan berpotensi melakukan aksi penipuan seperti mengklik iklan, menginstal aplikasi, dan aksi lainnya yang bermotif finansial tanpa persetujuan pengguna,” kata peneliti keamanan Fernando Ruiz.
Perusahaan keamanan siber tersebut mengungkapkan bahwa mereka telah mengidentifikasi 25 aplikasi yang membawa ancaman aktif ini, beberapa di antaranya telah didistribusikan di Google Play Store resmi sejak pertengahan tahun 2020. Diperkirakan aplikasi tersebut telah diinstal setidaknya 327.000 kali.
Xamalicious, yang biasanya menyamar sebagai aplikasi kesehatan, game, horoskop, dan produktivitas, adalah yang terbaru dari daftar panjang keluarga malware yang menyalahgunakan layanan aksesibilitas Android, meminta akses pengguna ke layanan tersebut saat instalasi untuk melakukan aksi istimewa, termasuk memberikan izin tambahan untuk dirinya sendiri sesuai kebutuhan.
“Untuk menghindari analisis dan deteksi, pembuat malware mengenkripsi semua komunikasi dan data yang dikirimkan antara C2 dan perangkat yang terinfeksi, tidak hanya dilindungi oleh HTTPS, tetapi juga dienkripsi sebagai token JSON Web Encryption (JWE) menggunakan RSA-OAEP dengan algoritma 128CBC-HS256,” kata Ruiz.
Lebih mengkhawatirkan lagi, dropper tahap pertama berisi fungsi untuk memperbarui file paket utama Android (APK) sendiri, yang berarti dapat digunakan sebagai spyware atau trojan perbankan tanpa interaksi pengguna.
McAfee mengatakan bahwa mereka telah mengidentifikasi hubungan antara Xamalicious dan aplikasi penipuan iklan bernama Cash Magnet, yang memfasilitasi pengunduhan aplikasi dan aktivitas klik otomatis untuk mendapatkan pendapatan secara ilegal dengan mengklik iklan.
“Aplikasi Android yang ditulis dalam kode non-java dengan kerangka kerja seperti Flutter, react native, dan Xamarin dapat memberikan lapisan kebingungan tambahan bagi pembuat malware yang dengan sengaja memilih alat ini untuk menghindari deteksi dan mencoba untuk tetap berada di bawah radar vendor keamanan dan menjaga keberadaan mereka di pasar aplikasi,” kata Ruiz.
Dalam pernyataan yang dibagikan kepada The Hacker News, Google mengatakan bahwa Play Protect melindungi pengguna Android dari malware baik di dalam maupun di luar Play Store. “Jika pengguna telah menginstal salah satu aplikasi yang diketahui mengandung malware, pengguna akan menerima peringatan dan aplikasi tersebut secara otomatis dihapus dari perangkatnya,” tambah perusahaan tersebut. “Jika pengguna mencoba memasang aplikasi dengan malware yang teridentifikasi ini, mereka akan mendapat peringatan dan aplikasi tersebut akan diblokir agar tidak dipasang.”
Pengungkapan ini terjadi ketika perusahaan keamanan siber merinci kampanye phishing yang menggunakan aplikasi pesan sosial seperti WhatsApp untuk mendistribusikan file APK jahat yang meniru identitas bank sah seperti Bank Negara India (SBI) dan meminta pengguna untuk menginstalnya guna menyelesaikan kewajiban Kenali Anda Prosedur Pelanggan (KYC).
Setelah diinstal, aplikasi meminta pengguna untuk memberikan izin.