{"id":5905,"date":"2024-01-02T18:47:12","date_gmt":"2024-01-02T17:47:12","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5905"},"modified":"2024-01-02T18:48:37","modified_gmt":"2024-01-02T17:48:37","slug":"xamalicious-android-zlonamjerni-softver","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/","title":{"rendered":"Xamalicious Android zlonamjerni softver"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/www.mcafee.com\/blogs\/other-blogs\/mcafee-labs\/stealth-backdoor-android-xamalicious-actively-infecting-devices\/\" target=\"_blank\" rel=\"noopener\"><em>McAfee Mobile Research Team<\/em> je identifikovao<\/a> <em>Xamalicious<\/em> Android <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> kao <em>Android<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>implementiran sa <em>Xamarin<\/em>, okru\u017eenjem otvorenog k\u00f4da koji omogu\u0107ava pravljenje <em>Android<\/em> i <em>iOS<\/em> aplikacija sa .<em>NET<\/em> i <em>C#<\/em> programskim jezicima.<\/span><\/p>\n<div id=\"attachment_5909\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5909\" class=\"size-full wp-image-5909\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/Xamalicious-Android.jpg\" alt=\"Xamalicious Android malware\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/Xamalicious-Android.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/Xamalicious-Android-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/Xamalicious-Android-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/Xamalicious-Android-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/Xamalicious-Android-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/Xamalicious-Android-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/Xamalicious-Android-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5909\" class=\"wp-caption-text\"><em>Xamalicious Android zlonamjerni softver; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/#XAMALICIOUS_ZLONAMJERNI_SOFTVER\">XAMALICIOUS ZLONAMJERNI SOFTVER<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/#ZLONAMJERNE_APLIKACIJE\">ZLONAMJERNE APLIKACIJE<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/#XAMALICIOUS_FUNKCIONISANJE\">XAMALICIOUS\u00a0FUNKCIONISANJE<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/#Dobijanje_usluga_pristupacnosti\">Dobijanje usluga pristupa\u010dnosti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/#Zlonamjerni_kod\">Zlonamjerni k\u00f4d<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/#Prikupljanje_informacija\">Prikupljanje informacija<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/#Koristenje_enkripcije\">Kori\u0161tenje enkripcije<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/#Evaluacija_druge_faze\">Evaluacija druge faze<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/#DLL_injekcija\">DLL injekcija<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/#Prevara_sa_oglasima\">Prevara sa oglasima<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/02\/xamalicious-android-zlonamjerni-softver\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"XAMALICIOUS_ZLONAMJERNI_SOFTVER\"><\/span><span style=\"font-size: 14pt;\"><strong><em>XAMALICIOUS <\/em>ZLONAMJERNI SOFTVER<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Ovaj zlonamjerni softver poku\u0161ava da dobije privilegije pristupa\u010dnosti pomo\u0107u dru\u0161tvenog in\u017eenjeringa. Zatim komunicira sa serverom za komandu i kontrolu kako bi procijenio da li da preuzme korisni teret druge faze koji se dinami\u010dki ubrizgava kao <em>DLL<\/em> datoteka za sklapanje na nivou izvr\u0161avanja da bi se u potpunosti iskoristio kontrolu nad ure\u0111ajem i potencijalno vr\u0161enje la\u017enih radnji kao \u0161to su klikovi na oglase, instaliranje aplikacija izme\u0111u ostalih radnji koje su finansijski motivisane bez saglasnosti korisnika.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Korisni teret druge faze mo\u017ee preuzeti potpunu kontrolu nad zara\u017eenim ure\u0111ajem zahvaljuju\u0107i mo\u0107nim uslugama pristupa\u010dnosti koje su ve\u0107 odobrene tokom prve faze, a koje tako\u0111e sadr\u017ee funkcije za samostalno a\u017euriranje glavne <em>APK<\/em> datoteke, \u0161to zna\u010di da ima potencijal za obavljanje bilo koje vrste aktivnosti kao <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/01\/spyware\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161pijunski softver<\/a> ili bankarski <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanac<\/a> bez interakcije korisnika.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su otkrili vezu izme\u0111u <em>Xamialicious<\/em> zlonamjernog softvera i aplikacije za prevaru sa reklamama \u201c<em>Cash Magnet<\/em>\u201d koju prevaranti koriste za generisanje prihoda upu\u0107ivanjem ure\u0111aja da kliknu na oglase, instaliraju aplikacije i druge radnje. Ovo navodi na zaklju\u010dak da su <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> koji stoje iza ovog <em>backdoor<\/em> zlonamjernog softvera finansijski motivisani.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZLONAMJERNE_APLIKACIJE\"><\/span><span style=\"font-size: 14pt;\"><strong>ZLONAMJERNE<\/strong> <strong>APLIKACIJE<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>Xamialicious <\/em>obi\u010dno opona\u0161a igre, horoskope, \u017eivotne ili zdravstvene aplikacije koje mogu da ugroze <em>Android<\/em> ure\u0111aj nakon instalacije. Sigurnosni istra\u017eiva\u010di su identifikovali 25. aplikacija koje se nalaze u <em>Google Play<\/em> prodavnici od 2020. godine. Prema dostupnom izvje\u0161taju, ove aplikacije su ve\u0107 uticale na oko 327.000 ure\u0111aja, a najugro\u017eeniji su korisnici \u0161irom SAD, Brazila i Argentine. Nekoliko ure\u0111aja u Evropi, uklju\u010duju\u0107i Veliku Britaniju, \u0160paniju i Njema\u010dku, tako\u0111e je prijavilo ovaj zlonamjerni softver.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovo je lista od 10 ovih aplikacija koje predstavljaju potencijalnu prijetnju pametnim telefonima:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\"><em>Essential Horoscope for Android <\/em>(<em>com.anomenforyou.essentialhoroscope<\/em>)<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Logo Maker Pro<\/em> (<em>com.vyblystudio.dotslinkpuzzles<\/em>)<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Auto Click Repeater<\/em> (<em>com.autoclickrepeater.free<\/em>)<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Count Easy Calorie Calculator <\/em>(<em>com.lakhinstudio.counteasycaloriecalculator<\/em>)<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>LetterLink<\/em> (<em>com.regaliusgames.llinkgame<\/em>)<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>NUMEROLOGY: PERSONAL HOROSCOPE &amp;NUMBER PREDICTIONS<\/em> (<em>com.Ushak.NPHOROSCOPENUMBER<\/em>)<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Step Keeper: Easy Pedometer<\/em> (<em>com.browgames.stepkeepereasymeter<\/em>)<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Track Your Sleep<\/em> (<em>com.shvetsStudio.trackYourSleep<\/em>)<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Astrological Navigator: Daily Horoscope &amp; Tarot<\/em> (<em>com.Osinko.HoroscopeTaro<\/em>)<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Universal Calculator <\/em>(<em>com.Potap64.universalcalculator<\/em>)<\/span><\/li>\n<\/ul>\n<p><span style=\"font-size: 14pt;\">Kori\u0161tenje <em>Xamarin<\/em> okru\u017eenja omogu\u0107ilo je autorima zlonamjernog softvera da ostanu aktivni i bez otkrivanja dugo vremena, koriste\u0107i prednosti procesa pravljenja <em>APK<\/em> datoteka koje su radile kao paker da bi sakrile zlonamjerni k\u00f4d. Pored toga, autori zlonamjernog softvera su tako\u0111e primijenili razli\u010dite tehnike zamagljivanja i prilago\u0111eno \u0161ifrovanje da bi eksfiltrirali podatke i komunicirali sa serverom za komandu i kontrolu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerne aplikacije su uklonjene iz <em>Google<\/em> <em>Play<\/em> prodavnice aplikacija, ali korisnici koji su ih instalirali od sredine 2020. godine mo\u017eda ih i dalje imaju aktivne na svojim ure\u0111ajima. Korisnike ne treba da zavara \u0161to ove aplikacije nisu vidljive na <em>Google<\/em> <em>Play<\/em> prodavnici, ve\u0107 oni korisnici koji su ih slu\u010dajno instalirali na telefone treba da ih odmah ru\u010dno obri\u0161u.<\/span><\/p>\n<h2><\/h2>\n<h2><span class=\"ez-toc-section\" id=\"XAMALICIOUS_FUNKCIONISANJE\"><\/span><span style=\"font-size: 14pt;\"><strong><em>XAMALICIOUS<\/em>\u00a0FUNKCIONISANJE<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako je <em>Xamalicious<\/em> .<em>NET<\/em> orijentisan <em>Android<\/em> <em>backdoor<\/em> koji je ugra\u0111en u aplikacije (u obliku \u201c<em>Core.dll<\/em>\u201d i \u201c<em>GoogleService.dll<\/em>\u201d) razvijenih kori\u0161tenjem <em>Xamarin<\/em> okru\u017eenja otvorenog k\u00f4da, \u0161to analizu \u010dini izazovnijom, sigurnosni istra\u017eiva\u010di su ipak do\u0161li do odre\u0111enih saznanja:<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Dobijanje_usluga_pristupacnosti\"><\/span><span style=\"font-size: 14pt;\"><strong>Dobijanje usluga pristupa\u010dnosti<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Kada se aplikacija u koju je ugra\u0111en ovaj zlonamjerni softver pokrene na ure\u0111aju, ona odmah tra\u017ei od \u017ertve da omogu\u0107i usluge pristupa\u010dnosti za \u201c<em>ispravan<\/em> <em>rad<\/em>\u201d i daje uputstva za aktiviranje ove dozvole. Korisnici moraju ru\u010dno da aktiviraju usluge pristupa\u010dnosti nakon nekoliko upozorenja operativnog sistema.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Zlonamjerni_kod\"><\/span><span style=\"font-size: 14pt;\"><strong>Zlonamjerni k\u00f4d<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>Xamalicious<\/em> je je prvobitno napisan u .<em>NET<\/em> programskom okru\u017eenju i kompajliran u biblioteku dinami\u010dkih veza (<em>DLL<\/em>). Zbog na\u010dina pakovanja u <em>APK<\/em> datoteku u nekim primjerima preokretanje <em>DLL<\/em> biblioteke je jednostavno, dok su u drugim potrebni dodatni koraci za njeno raspakivanje. Neke varijante zlonamjernog softvera su zamaglile <em>DLL<\/em> biblioteku kako bi izbjegle analizu i poni\u0161tavanje zlonamjernog k\u00f4da, dok druge dr\u017ee originalni k\u00f4d dostupnim.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Prikupljanje_informacija\"><\/span><span style=\"font-size: 14pt;\"><strong>Prikupljanje informacija<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Xamalicious<\/em> Android zlonamjerni softver prikuplja podatke sa vi\u0161e razli\u010ditih podataka sa ure\u0111aja uklju\u010duju\u0107i listu instaliranih aplikacija dobijenih preko sistemskih komandi kako bi se utvrdilo da li je zara\u017eeni ure\u0111aj dobra meta za drugu fazu. Zlonamjerni softver mo\u017ee da prikuplja informacije o lokaciji, nosiocu i mre\u017ei izme\u0111u statusa rutiranja ure\u0111aja, konfiguracije <em>ADB<\/em> veze. Primjera radi ako je ure\u0111aj povezan preko <em>ADB<\/em> \u2013 <em>Android<\/em> <em>Debug<\/em> <em>Bridge<\/em> ili ako je <em>ROM<\/em> ure\u0111aja otklju\u010dan (eng. <em>rooted<\/em>), C<\/span><span style=\"font-size: 14pt;\">2 ne\u0107e obezbijediti drugu fazu korisnog <em>DLL<\/em> tereta za preuzimanje. Neke od informacije koje ovaj zlonamjerni softver mo\u017ee prikupiti su: <em>Android Id<\/em>, brend ure\u0111aja, <em>CPU<\/em>, memorija ure\u0111aja, senzori, model ure\u0111aja, serijski broj, verzija operativnog sistema, jezik ure\u0111aja, naziv internet provajdera, da li je ROM otklju\u010dan, lista instaliranih aplikacija, status usluga pristupa\u010dnosti i sli\u010dno.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Koristenje_enkripcije\"><\/span><span style=\"font-size: 14pt;\"><strong>Kori\u0161tenje enkripcije<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Kako bi izbjegli analizu i otkrivanje, zlonamjerni akteri su \u0161ifrovali svu komunikaciju i podatke koji se prenose izme\u0111u <em>C2<\/em> i zara\u017eenog ure\u0111aja, ne samo da je za\u0161ti\u0107ena za\u0161ti\u0107ena <em>HTTPS<\/em> vezom, ve\u0107 je \u0161ifrovana kao <em>JSON Web Encryption \u2013 JWE<\/em> token koriste\u0107i <em>RSA-OAEP<\/em> sa <em>128CBC-HS256<\/em> algoritmom. Me\u0111utim <em>RSA<\/em> vrijednosti klju\u010da koje koristi <em>Xamalicious<\/em> zlonamjerni softver su \u010dvrsto kodirane u raspakovanoj zlonamjernoj <em>DLL<\/em> biblioteci tako da je de\u0161ifrovanje prenijetih informacija jedino moguc\u0301e ako je <em>C2<\/em> infrastruktura dostupna tokom analize.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Evaluacija_druge_faze\"><\/span><span style=\"font-size: 14pt;\"><strong>Evaluacija druge faze<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Prikupljeni podaci koji se prenesu na <em>C2<\/em> se koriste da bi se utvrdilo da li je ure\u0111aj prava meta za preuzimanje <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnog optere\u0107enja<\/a> druge faze. Mehanizam samoza\u0161tite zlonamjernog aktera prevazilazi tradicionalnu detekciju emulacije i ograni\u010denja operatera koda zemlje, jer u ovom slu\u010daju, server za komandu i kontrolu ne\u0107e isporu\u010diti drugu fazu korisnog optere\u0107enja ako je <em>ROM<\/em> ure\u0111aja otklju\u010dan ili povezan kao <em>ADB<\/em> preko <em>USB<\/em> veze ili nema <em>SIM<\/em> karticu me\u0111u brojnim drugim provjerama okru\u017eenja.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"DLL_injekcija\"><\/span><span style=\"font-size: 14pt;\"><strong><em>DLL<\/em> injekcija<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Kada se u\u010dita druga faza korisnog optere\u0107enja, ure\u0111aj mo\u017ee biti potpuno kompromitovan, jer kada se dozvole pristupa\u010dnosti daju, on mo\u017ee da prati i komunicira sa bilo kojom aktivno\u0161\u0107u koja omogu\u0107ava tajni pristup ure\u0111aju \u2013 <em>backdoor <\/em>za bilo koju vrstu zlonamjerne aktivnosti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tokom analize, preuzeto optere\u0107enje drugog stepena sadr\u017ealo je <em>DLL<\/em> biblioteku koja je bila zamagljena i nekompletna vjerovatno zato \u0161to <em>C2<\/em> nije primio o\u010dekivane parametre za obezbje\u0111ivanje kompletne zlonamjerne druge faze koja bi mogla biti ograni\u010dena na odre\u0111eni nosilac, jezik, instalirane aplikacije, lokaciju, vremensku zonu ili drugi nepoznati uslovi inficiranog ure\u0111aja. Ipak, sa sigurno\u0161\u0107u se mo\u017ee tvrditi da je to <em>backdoor<\/em> visokog rizika koji ostavlja mogu\u0107nost dinami\u010dkog izvr\u0161avanja bilo koje komande na inficiranom ure\u0111aju ne ograni\u010davaju\u0107i se na \u0161pijuniranje, la\u017eno predstavljanje ili kao finansijski motivisan zlonamjerni softver.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Prevara_sa_oglasima\"><\/span><span style=\"font-size: 14pt;\"><strong>Prevara sa oglasima<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Jedan od <em>Xamalicious<\/em> uzoraka je bio prepoznat kao <em>LetterLink<\/em> (<em>com.regaliusgames.llinkgame<\/em>) aplikacija koja je bila dostupna na <em>Google<\/em> <em>Play<\/em> prodavnici krajem 2020. godine, a koja je ustvari lo\u0161e opisana verzija <em>Cash<\/em><em> Magnet<\/em> aplikacije koja vr\u0161i prevaru sa oglasima pomo\u0107u automatizovanog klikanja, preuzimanja aplikacija i drugih zadataka koji dovode do profita za pridru\u017eeni marketing.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>LetterLink<\/em> obavlja vi\u0161estruke <em>Xamalicious<\/em> aktivnosti po\u0161to sadr\u017ei biblioteku \u201c<em>core.dll<\/em>\u201d, povezuje se na isti <em>C2<\/em> server i koristi isti \u010dvrsto kodirani privatni <em>RSA<\/em> certifikat za pravljenje <em>JWE<\/em> \u0161ifrovanih tokena koji obezbje\u0111uju nepobitni dokaz da programeri <em>Cash <\/em><em>Magnet<\/em> aplikacije stoje iza <em>Xamalicious <\/em>zlonamjernog softvera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Android<\/em> aplikacije koje nisu napisane u <em>Java<\/em> k\u00f4du, koriste\u0107i okru\u017eenja kao \u0161to je <em>React<\/em> <em>Native<\/em>, <em>Flutter<\/em> i <em>Xamarin<\/em> mogu omogu\u0107iti zlonamjernim akterima dodatni sloj zamagljivanja k\u00f4da zlonamjernog softvera. Zbog toga, zlonamjerni akteri namjerno biraju ove alate da bi izbjegli otkrivanje i poku\u0161ali da ostanu ispod radara sigurnosnih istra\u017eiva\u010da i sigurnosnih softvera, kao i da zadr\u017ee svoje prisustvo u raznim prodavnicama aplikacija.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uz omogu\u0107avanje prava pristupa uslugama pristupa\u010dnosti, ovaj zlonamjerni softver nakon raznih provjera polako dolazi do trenutka kada mo\u017ee da isporu\u010di korisni teret druge. Preuzimanje korisnog tereta druge faze omogu\u0107ava preuzimanje kontrole nad ure\u0111ajem, jer se dozvoljavaju pristupne dozvole, tako da zlonamjerni softver mo\u017ee da izvr\u0161i bilo koju drugu dozvolu ili radnju ako su ova uputstva data u uba\u010denom k\u00f4du.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Korisnici mogu dodatno za\u0161tititi svoje ure\u0111aje i umanjiti rizike povezane sa ovim vrstama zlonamjernog softvera prate\u0107i sljede\u0107e preporuke:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Korisnici <em>Android<\/em> operativnog sistema treba da izbjegavaju instalaciju aplikacija iz nezvani\u010dnih izvora i prodavnica aplikacija trec\u0301ih strana i da se dr\u017ee pouzdanih platformi kao \u0161to je <em>Google<\/em> <em>Play<\/em> prodavnica, koje primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu za\u0161titu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pouzdana sigurnosna aplikacija za <em>Android<\/em> operativni sistem \u0161titi ure\u0111aj korisnika od zlonamjernih aplikacija. <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">Sigurnosne aplikacije<\/a> pru\u017eaju dodatni sloj za\u0161tite skeniranjem i identifikacijom potencijalno \u0161tetnih aplikacija, otkrivanjem zlonamjernog softvera i upozoravanjem korisnika na sumnjive aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Korisnici trebaju prilikom preuzimanja aplikacije iz <em>Google<\/em> <em>Play<\/em> prodavnice trebaju obratiti pa\u017enju na na recenzije korisnika (mo\u017eda nisu dostupne u nezvani\u010dnim prodavnicama). Klju\u010dno je biti svjestan da pozitivne kritike mogu biti la\u017ene kako bi se pove\u0107ao kredibilitet zlonamjernih aplikacija. Korisnici bi trebalo da se usredsrede na negativne kritike i pa\u017eljivo procjene zabrinutosti korisnika, jer mogu otkriti va\u017ene informacije o zlonamjernoj aplikaciji,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju \u0107e aplikacija primjenjivati. Tako\u0111e, tokom instalacije aplikacije veoma je va\u017eno obratiti pa\u017enju na podatke i dozvole kojima aplikacija tra\u017ei pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>McAfee Mobile Research Team je identifikovao Xamalicious Android zlonamjerni softver kao Android backdoor implementiran sa Xamarin, okru\u017eenjem otvorenog k\u00f4da koji omogu\u0107ava pravljenje Android i iOS aplikacija sa .NET i C# programskim jezicima. XAMALICIOUS ZLONAMJERNI&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5909,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[187,431,142,628,659,658,345,660,93,657,661],"class_list":["post-5905","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-android","tag-apk","tag-backdoor","tag-c2","tag-cash-magnet","tag-dll","tag-google-play","tag-letterlink","tag-malware","tag-xamalicious","tag-xamarin"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5905","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5905"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5905\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5909"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5905"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5905"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5905"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}