Gracias al programa App Defense Alliance, el sistema operativo Android sigue siendo monitoreado por destacados expertos a nivel mundial. En esta ocasión, McAfee, miembro de dicho grupo, ha destapado la presencia en la tienda de Google de Xamalicious, un malware que se ocultaba en trece aplicaciones.
El problema en estas situaciones radica en la dificultad de localizar el origen de la infección. Esto ha sido aprovechado por los hackers para continuar infectando dispositivos durante años. Las primeras aplicaciones infectadas con Xamalicious estuvieron disponibles en Google Play desde 2020, y de esas trece, tres acumularon más de 100,000 instalaciones cada una con el tiempo. Estas cifras son alarmantes, aunque al menos han dejado de aumentar, ya que todas estas aplicaciones infectadas han sido eliminadas de Google Play. España y Sudamérica, como se muestra en este mapa, se encuentra entre los países más afectados por la infección.
Las cifras totales de infecciones alcanzadas por Xamalicious antes de ser detectado y erradicado ascienden a 338,300 dispositivos. Sin embargo, es crucial tener en cuenta que, con la eliminación de las aplicaciones de Google Play, estas no desaparecen de los dispositivos. Por lo tanto, si reconoces alguna de las herramientas infectadas mencionadas a continuación, es recomendable limpiar tu móvil y, sobre todo, eliminar la aplicación afectada de inmediato.
Estas son las aplicaciones infectadas:
- 3D Skin Editor for PE Minecraft
- Essential Horoscope for Android
- Logo Maker Pro
Estas tres aplicaciones, lógicamente, son las más propensas a estar en tu dispositivo, ya que cada una acumuló más de 100,000 instalaciones. Te instamos a revisar tu dispositivo lo antes posible para detectarlas y eliminarlas.
A continuación, se encuentran las siguientes aplicaciones con descargas entre 1,000 y 10,000 dispositivos:
- Auto Click Repeater
- Count Easy Calorie Calculator
- Sound Volume Extender
- Numerology: Personal Horoscope & Number Predictions
- LetterLink
Y con entre 100 y 500 instalaciones, completan la lista estas aplicaciones:
- Track Your Sleep
- Step Keeper: Easy Pedometer
- Astrological Navigator: Daily Horoscope & Tarot
- Sound Volume Booster
- Universal Calculator
El problema con este malware radica en su desarrollo inteligente, utilizando el framework de código abierto Xamarin (de ahí su nombre). Se esconde en archivos como GoogleService.dll y Core.dll. Una vez instaladas las aplicaciones que lo contienen, los usuarios se encuentran con una solicitud de permisos de accesibilidad en el terminal. Dada la naturaleza de las aplicaciones, es natural aceptar la solicitud y otorgar los permisos solicitados.
Sin embargo, lo que el usuario desconoce es que, a partir de ese momento, la aplicación puede operar sin ser detectada. Accede a un archivo adicional, cache.bin, que permite la ejecución de comandos a distancia de forma totalmente oculta. Los atacantes pueden usar comandos como DevInfo, GeoInfo, RootInfo o Packages, entre otros, lo que les brinda acceso total al dispositivo. Por ejemplo, con GeoInfo pueden conocer la ubicación del móvil infectado.
McAfee, que ha publicado las imágenes a lo largo de su investigación, advierte sobre otro riesgo. Los dispositivos infectados por Xamalicious podrían haber sido utilizados para diversos tipos de fraude, como se ha observado en la conexión con la aplicación Cash Magnet, que instala adware en los dispositivos sin el conocimiento del usuario. Debido a este riesgo, los dispositivos infectados han experimentado una reducción en su rendimiento y capacidad, como se ha visto en casos anteriores.