Scoperto un ceppo più sofisticato di malware Android capace di avviarsi automaticamente e condurre attacchi senza interazione dell’utente.
I ricercatori di McAfee hanno scoperto una nuova e più pericolosa variante del malware Android XLoader, capace di avviarsi automaticamente sui dispositivi Android infetti senza interazione dell’utente. Questa variante, nota anche come MoqHao, appartiene a una famiglia di malware attiva dal 2015 e operata dal gruppo di minacce Roaming Mantis, con attacchi mirati a utenti in Francia, Germania, Giappone, Corea del Sud, Taiwan, Regno Unito e Stati Uniti.
La novità di questa variante risiede nella sua capacità di avviarsi automaticamente sui dispositivi infetti senza alcuna interazione da parte dell’utente, una tecnica di esecuzione automatica scoperta per la prima volta nel luglio 2022. Il metodo di distribuzione rimane lo stesso, tramite messaggi di testo che indirizzano le vittime a un link per scaricare l’app dannosa, mascherata da Google Chrome.
Una volta installata, la variante di XLoader può iniziare a svolgere attività dannose in background. Questa versione richiede agli utenti di concedere autorizzazioni estese, inclusa l’abilitazione dell’app a eseguirsi in background e l’accesso a dati sensibili come file e messaggi. Inoltre, il malware chiede di essere impostato come app di messaggistica predefinita per aiutare a “prevenire lo spam”, aumentando ulteriormente il suo potenziale dannoso.
I criminali dietro questo attacco hanno preparato messaggi pop-up in diverse lingue, indicando un bersaglio mirato verso utenti in specifiche regioni geografiche. Una volta ottenuto il controllo, XLoader è in grado di visualizzare messaggi di phishing e regolare automaticamente il contenuto basandosi sulla località dell’utente, sfruttando profili Pinterest per ottenere messaggi e URL di phishing.
Nel caso in cui il trucco di Pinterest non funzioni, il malware ricorre a messaggi di phishing preimpostati che indicano problemi con il conto bancario della vittima, spingendola a prendere misure immediate. XLoader può eseguire una vasta gamma di comandi da remoto, inclusa la raccolta e l’invio di informazioni personali al server di controllo.
McAfee sottolinea che i dispositivi Android con Google Play Services attivi e Google Play Protect abilitato sono protetti da questo tipo di malware. Tuttavia, rimane essenziale scaricare app esclusivamente da fonti affidabili come il Google Play Store. Google, inoltre, sta lavorando a misure preventive contro questo tipo di esecuzione automatica nelle future versioni di Android, possibilmente a partire da Android 15.
