新型隐蔽Android恶意软件Xamalicious

Xamalicious 通常伪装成健康、游戏、星座和生产力应用程序，是一系列恶意软件中的最新成员，它滥用 Android 辅助功能服务。当用户安装这些应用程序时，它们会请求获得辅助功能权限，以执行其恶意任务。

为了躲避分析和检测，恶意软件的开发者对C2和受感染设备之间的通信和数据进行了全面加密。这种加密不仅采用了HTTPS，还使用了RSA-OAEP和128CBC-HS256算法，将数据加密成JSON Web Encryption（JWE）令牌，进一步增加了检测的难度。更令人担忧的是，恶意软件的第一阶段包含了自我更新主Android软件包（APK）文件的功能，这意味着它可以被转化成间谍软件或银行木马，而无需任何用户干预。据McAfee称，他们已经发现了Xamalicious与名为Cash Magnet的广告欺诈应用程序之间的联系，后者鼓励应用程序下载和自动点击，以非法方式获取广告收入。Fernando Ruiz指出：“使用非Java代码编写的Android应用程序，以及Flutter、React Native和Xamarin等框架，为恶意软件开发者提供了额外的混淆层。这些开发者故意选择这些工具来规避检测，试图保持在安全供应商的监测之外，以确保他们的应用程序在应用程序市场上继续存在。”

Android 网络钓鱼活动使用银行家恶意软件针对印度

在这次披露的背后，这家网络安全公司详细描述了一项网络钓鱼活动，该活动采用WhatsApp等社交消息应用程序作为分发工具，伪装成印度国家银行（SBI）等合法银行，并诱使用户安装恶意APK文件，声称这是完成强制性的客户身份验证（KYC）程序所必需的。一旦安装，该应用程序会要求用户授予与短信相关的权限，并将其重定向到虚假页面，该页面不仅窃取用户的登录凭证，还获取了他们的银行账户、信用卡/借记卡信息以及国民身份信息。所收集的数据与截获的短信消息一并转发到攻击者控制的服务器，使得攻击者能够执行未经授权的交易。值得注意的是，微软上个月也发出了警告，指出发生了一起类似的活动，该活动利用WhatsApp和Telegram作为传播渠道，瞄准印度在线银行用户。

来源：安全圈