Xamalicious后門可以完全控制目標Android設備,而不會被設備的安全解決方案檢測到。盡管Google主動刪除了這些應用程序,但第三方市場的威脅仍然存在,全球超過327000臺設備受到威脅。


McAfee的移動研究團隊發現了一種廣泛傳播的Android后門威脅,稱為Xamalicious,展示了危害用戶設備的復雜策略。該惡意軟件利用了Xamarin框架,利用其功能在APK文件構建過程中隱藏惡意代碼,使其能夠在不被發現的情況下運行。


這種威脅旨在通過社會工程獲得可訪問權限,與命令和控制服務器通信以下載在運行時注入的第二階段有效負載。


一旦安裝,惡意軟件就會完全控制設備,從而在未經用戶同意的情況下進行各種欺詐行為,例如點擊廣告、安裝應用程序以及其他出于經濟動機的活動。


Xamalicious后門的與眾不同之處在于它與臭名昭著的廣告欺詐應用程序“Cash Magnet”的直接連接。此鏈接暴露了攻擊背后的經濟動機,因為Cash Magnet參與自動廣告點擊、應用程序安裝和其他行為來產生欺詐性收入。


根據邁克菲移動研究團隊的博客文章,已識別出大約25個攜帶Xamalicious后門的惡意應用程序,其中一些應用程序自2020年中期以來已滲透到Google Play。盡管Google主動刪除了這些應用程序,但第三方市場的威脅仍然存在,超過327000臺設備受到損害。


這種威脅的影響是深遠的,影響到各大洲的用戶。最重要的活動發生在美國、巴西、阿根廷、英國、西班牙和德國。



邁克菲敦促用戶刪除的一些受影響的應用程序包括:


1. LetterLink(信聯)


2. Logo Maker Pro(LOGO生成專業版)


3. Track Your Sleep(睡眠追蹤)


4. Auto Click Repeater(自動重復點擊器)


5. Universal Calculator(萬能計算器)


6. Sound Volume Booster(音量增強器)


7. Sound Volume Extender(音量擴展器)


8. Count Easy Calorie Calculator(卡路里簡單計算器)


9. Step Keeper: Easy Pedometer(計步器:簡易計步)


10. 3D Skin Editor for PE Minecraft(PE Minecraft的3D皮膚制作)


11. Essential Horoscope for Android(安卓的星座運勢)


12. Astrological Navigator: Daily Horoscope & Tarot(占星導航:每日星座與塔羅)


13. NUMEROLOGY: PERSONAL HOROSCOPE & NUMBER PREDICTIONS.(命理學:星座運勢和數字預測)


安裝后,Xamalicious后門的第二階段有效負載將授予惡意軟件對設備的完全控制權。此功能允許惡意軟件自行更新主APK并執行各種活動,從充當間諜軟件到可能充當銀行木馬,所有這些都不需要用戶交互。


Xamalicious后門的作案手法包括誘騙用戶授予輔助功能服務權限。盡管操作系統手動發出警告,但惡意軟件仍會利用漏洞并提示用戶激活這些服務,從而在設備上站穩腳跟。



Xamalicious后門通過收集大量設備信息并與命令和控制服務器進行通信,超越了典型的惡意軟件。通過使用JSON Web加密(JWE)令牌來保護通信。該惡意軟件的DLL包含硬編碼的RSA密鑰值,為分析期間的潛在解密打開了大門。


如果您使用Android設備,那么保護它們免受Xamalicious惡意軟件和其他新興Android威脅至關重要。強烈建議用戶在授予無障礙服務權限時務必謹慎,特別是當應用程序沒有合法需求時。


建議安裝信譽良好的安全軟件(例如McAfee Mobile Security(邁克菲移動安全)),以降低與惡意軟件感染相關的風險。定期更新對于確保持續防御移動環境中不斷變化的威脅至關重要。保持知情,保持保護。


安全軟件
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接