Una versione aggiornata del malware XLoader per Android, noto anche come MoqHao, è stata scoperta di recente. Questa versione si caratterizza per la capacità di auto-eseguirsi sui dispositivi che infetta, senza necessità di alcuna interazione da parte dell’utente. XLoader è gestito, e presumibilmente creato, da un attore di minaccia con motivazioni finanziarie soprannominato ‘Roaming Mantis’, precedentemente osservato nel mirino di utenti negli Stati Uniti, nel Regno Unito, in Germania, Francia, Giappone, Corea del Sud e Taiwan.
Distribuzione e Funzionamento
Il malware viene distribuito principalmente tramite messaggi SMS contenenti URL abbreviati che indirizzano a siti web dai quali viene scaricato un file APK per Android. Le recenti varianti di XLoader dimostrano la capacità di lanciarsi automaticamente dopo l’installazione, consentendo al malware di operare in modo subdolo in background e sottrarre informazioni sensibili degli utenti, tra le altre azioni.
Roaming Mantis utilizza stringhe Unicode per camuffare gli APK maligni come software legittimi, in particolare il browser web Chrome, al fine di ingannare l’utente ad approvare autorizzazioni rischiose sul dispositivo. Queste autorizzazioni includono l’invio e l’accesso ai contenuti degli SMS e la possibilità di “funzionare sempre in background” grazie all’esclusione dall’ottimizzazione della batteria di Android.
Tecniche di Phishing e Comandi
XLoader crea canali di notifica per eseguire attacchi di phishing personalizzati sul dispositivo, estraendo messaggi di phishing e URL di destinazione dai profili Pinterest, probabilmente per eludere il rilevamento da parte degli strumenti di sicurezza che monitorano le fonti di traffico sospette. Inoltre, il malware può eseguire un’ampia gamma di comandi (20 in totale) ricevuti dal suo server di comando e controllo (C2) tramite il protocollo WebSocket.
Avvertenze e Precauzioni
Dal suo debutto nella scena delle minacce mobili nel 2015, XLoader ha continuamente evoluto le sue metodologie di attacco, migliorando le sue capacità di occultamento e l’efficacia. I ricercatori di McAfee avvertono che le varianti più recenti di XLoader possono essere particolarmente efficaci in quanto richiedono una minima interazione da parte dell’utente. Considerando che il malware si nasconde sotto le sembianze di Chrome, si consiglia di utilizzare un prodotto di sicurezza in grado di analizzare il dispositivo e eliminare queste minacce in base agli indicatori noti.