Android-Apps: Vorsicht vor Schadsoftware Xamalicious
- Warnmeldung
© CSBW
Xamalicious im Detail
Die Malware Xamalicious ist Teil von etwa 25 Android-Apps, die seit Mitte 2020 in verschiedenen Versionen im Google Play Store angeboten waren. Von diesen Apps sind die unten aufgelisteten namentlich bekannt.
Laut dem Bericht von McAfee wurde die Schadsoftware schwerpunktmäßig in Brasilien, Argentinien und Großbritannien beobachtet, aber auch in Deutschland, Spanien und den USA. Die Apps wurden inzwischen aus dem Play Store entfernt. Nicht auszuschließen ist, dass die Apps weiterhin auf anderen Plattformen angeboten und von dort installiert werden können.
Nach der Installation der App sollten Anwendende dazu verleitet werden, weitreichende Rechte zu erteilen. Danach lud die App den eigentlichen Schadcode von einem Server herunter. Dieses Nachladen und die verschlüsselte Kommunikation erschwerten die Erkennung der Malware. Dadurch war die Schadsoftware unauffällig und blieb relativ lange unerkannt.
Betroffene Apps
-
- Paketname: com.anomenforyou.essentialhoroscope
- Installationen (Größenordnung): 100.000
-
- Paketname: com.littleray.skineditorforpeminecraft
- Installationen (Größenordnung): 100.000
-
- Paketname: com.vyblystudio.dotslinkpuzzles
- Installationen (Größenordnung): 100.000
-
- Paketname: com.autoclickrepeater.free
- Installationen (Größenordnung): 10.000
-
- Paketname: com.lakhinstudio.counteasycaloriecalculator
- Installationen (Größenordnung): 10.000
-
- Paketname: com.muranogames.easyworkoutsathome
- Installationen (Größenordnung): 5.000
-
- Paketname: com.regaliusgames.llinkgame
- Installationen (Größenordnung): 1.000
-
- Paketname: com.Ushak.NPHOROSCOPENUMBER
- Installationen (Größenordnung): 1.000
-
- Paketname: com.browgames.stepkeepereasymeter
- Installationen (Größenordnung): 500
-
- Paketname: com.shvetsStudio.trackYourSleep
- Installationen (Größenordnung): 500
-
- Paketname: com.devapps.soundvolumebooster
- Installationen (Größenordnung): 100
-
- Paketname: com.Osinko.HoroscopeTaro
- Installationen (Größenordnung): 100
-
- Paketname: com.Potap64.universalcalculator
- Installationen (Größenordnung): 100
Komprimittierungsindikatoren
McAfee stellt Kompromittierungsindikatoren (IoCs) zur Verfügung. Damit können User prüfen, ob ihre Geräte betroffen sind. Diese IoCs finden Sie unter dem folgenden Link.
Empfohlene Maßnahmen
- Deinstallieren Sie die betroffenen Apps.
- Prüfen Sie das Gerät mit den verfügbaren IoCs.
- Beobachten Sie das Gerät auf ungewöhnliches Verhalten. Beispiele hierfür sind:
- System-Verlangsamung
- Erhöhter Akkuverbrauch und vermehrte Abwärme
- Unerklärlich höheres Datenaufkommen
- Maliziöse Aktivitäten wie unerklärliche Werbe-Popups und sich selbst öffnende Webseiten
- Aktivieren Sie Google Play Protect. Scannen Sie die installierten Apps erneut.
- Sofern eigene Virenschutz-Apps installiert sind, können Sie das Gerät auch damit scannen.
- Installieren Sie verfügbare Updates für Android- bzw. Google-Play-Systemdienste.
- Um ggf. verbliebene Malware-Komponenten zuverlässig zu entfernen, setzen Sie das Gerät auf die Werkseinstellungen zurück. Sichern Sie zuvor wichtige Daten. Das Zurücksetzen ist vor allem dann sinnvoll, wenn Befürchtungen bestehen, dass noch Malware-Komponenten vorhanden sind.
- Generell gilt: Je weniger Apps auf einem Gerät installiert sind, desto weniger Angriffsfläche bietet das Gerät. Deinstallieren Sie deshalb alle dubiosen und nicht genutzten Apps.
Herkunft des Namens
Xamalicious ist ein Kofferwort. Es wurde aus den Wörtern Xamarin und malicious gebildet. Xamarin ist der Name des Open-Source-Frameworks, mit dem die Malware implementiert wurde. malicious ist das englische Wort für bösartig.