Android staat centraal in een McAfee-waarschuwing, die een nieuwe variant van de Android XLoader-malware heeft geïdentificeerd, ook bekend als MoqHao, die ernstige zorgen heeft gewekt onder gebruikers van Android-apparaten. XLoader, beheerd en waarschijnlijk gemaakt door de financieel gemotiveerde bedreigingsacteur die bekend staat als 'Roaming Mantis', is eerder waargenomen als doelwit voor gebruikers in de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Frankrijk, Japan, Zuid-Korea en Taiwan.
Het Android-apparaat waarop deze nieuwe versie van de malware zich richt, heeft het zorgwekkende vermogen om na de installatie automatisch te starten zonder enige gebruikersinteractie, waardoor het heimelijk op de achtergrond kan draaien en onder meer gevoelige gebruikersinformatie kan stelen. "Zodra de app is geïnstalleerd, beginnen de kwaadaardige activiteiten automatisch", legt McAfee uit, partner van de Android Application Defense Alliance.
Aanvallers verspreiden de malware voornamelijk via sms-berichten met daarin een (verkorte) URL die leidt naar een site waar een APK-installatiebestand voor een mobiele applicatie kan worden gedownload. Om de kwaadaardige app verder te verdoezelen, gebruikt Roaming Mantis Unicode-reeksen om kwaadaardige APK's te vermommen als legitieme software, met name de Chrome-webbrowser.
Android is veilig, maar identiteitsdiefstal is essentieel voor de volgende stap, namelijk het misleiden van de gebruiker tot het goedkeuren van riskante rechten op het apparaat, zoals het verzenden en openen van sms-inhoud, en het toestaan om 'altijd op de achtergrond te draaien' door het toevoegen van een uitsluiting van Android-batterijoptimalisatie.
Zeer gevaarlijke Android-malware ontdekt, McAfee Alert voor telefoonmensen
De nep-Chrome Android-app vraagt de gebruiker ook om deze in te stellen als de standaard sms-app en beweert dat dit spam zal helpen voorkomen. De pop-upberichten die in deze stap worden gebruikt, zijn beschikbaar in het Engels, Koreaans, Frans, Japans, Duits en Hindi en geven de huidige doelen van XLoader aan.
De nieuwste versie van Android XLoader creëert meldingskanalen om aangepaste phishing-aanvallen op het apparaat uit te voeren, waarbij phishing-berichten en landings-URL's uit Pinterest-profielen worden geëxtraheerd, vermoedelijk om detectie door beveiligingstools te voorkomen die bronnen van verdacht verkeer monitoren.
Sinds zijn verschijning op de mobiele dreigingsscène in 2015 heeft XLoader zijn aanvalsmethoden voortdurend verder ontwikkeld, waardoor de stealth-mogelijkheden en effectiviteit zijn verbeterd. McAfee waarschuwt dat nieuwe varianten van XLoader bijzonder effectief kunnen zijn omdat ze minimale gebruikersinteractie vereisen.
Aangezien malware zich verbergt onder het mom van Chrome, stelt McAfee voor om een beveiligingsproduct te gebruiken dat uw apparaat kan scannen en deze bedreigingen kan uitroeien op basis van bekende indicatoren. Dit incident onderstreept het belang van voortdurende waakzaamheid en het nemen van passende voorzorgsmaatregelen om bescherming te bieden tegen zich ontwikkelende cyberdreigingen.
