新发现的 Android 后门具有强大功能,允许攻击者在被感染的设备上执行一系列恶意操作。该恶意软件被 McAfee 移动研究团队命名为 "Xamalicious",因为它是使用名为 Xamarin 的开源移动应用程序框架开发的。Xamalicious 恶意软件滥用了操作系统的可访问性权限,以实现其恶意目的。此后门还具备收集有关受感染设备的元数据的能力,并能够与命令和控制(C2)服务器通信,以获取第二阶段有效载荷,前提是它满足特定条件。
安全研究员Fernando Ruiz 指出,第二阶段涉及在运行时动态注入程序集DLL,以完全控制设备,并有可能执行欺诈行为,如点击广告、安装应用程序等,这些行为都未经用户同意,而是出于经济动机。这家网络安全公司发现了25个带有这种主动威胁的应用程序,其中一些自2020年中期以来一直在官方的Google Play商店上分发。据估计,这些应用程序至少已被安装了327,000次。最多的感染报告来自巴西、阿根廷、英国、澳大利亚、美国、墨西哥以及其他欧美地区。
下面列出了一些应用程序 :
-
Essential Horoscope for Android (com.anomenforyou.essentialhoroscope)
-
3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft)
-
Logo Maker Pro (com.vyblystudio.dotslinkpuzzles)
-
Auto Click Repeater (com.autoclickrepeater.free)
-
Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator)
-
Sound Volume Extender (com.muranogames.easyworkoutsathome)
-
LetterLink (com.regaliusgames.llinkgame)
-
NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER)
-
Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter)
-
Track Your Sleep (com.shvetsStudio.trackYourSleep)
-
Sound Volume Booster (com.devapps.soundvolumebooster)
-
Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro)
-
Universal Calculator (com.Potap64.universalcalculator)
Xamalicious 通常伪装成健康、游戏、星座和生产力应用程序,是一系列恶意软件中的最新成员,它滥用 Android 辅助功能服务。当用户安装这些应用程序时,它们会请求获得辅助功能权限,以执行其恶意任务。
为了躲避分析和检测,恶意软件的开发者对C2和受感染设备之间的通信和数据进行了全面加密。这种加密不仅采用了HTTPS,还使用了RSA-OAEP和128CBC-HS256算法,将数据加密成JSON Web Encryption(JWE)令牌,进一步增加了检测的难度。更令人担忧的是,恶意软件的第一阶段包含了自我更新主Android软件包(APK)文件的功能,这意味着它可以被转化成间谍软件或银行木马,而无需任何用户干预。据McAfee称,他们已经发现了Xamalicious与名为Cash Magnet的广告欺诈应用程序之间的联系,后者鼓励应用程序下载和自动点击,以非法方式获取广告收入。Fernando Ruiz指出:“使用非Java代码编写的Android应用程序,以及Flutter、React Native和Xamarin等框架,为恶意软件开发者提供了额外的混淆层。这些开发者故意选择这些工具来规避检测,试图保持在安全供应商的监测之外,以确保他们的应用程序在应用程序市场上继续存在。”
Android 网络钓鱼活动使用银行家恶意软件针对印度
在这次披露的背后,这家网络安全公司详细描述了一项网络钓鱼活动,该活动采用WhatsApp等社交消息应用程序作为分发工具,伪装成印度国家银行(SBI)等合法银行,并诱使用户安装恶意APK文件,声称这是完成强制性的客户身份验证(KYC)程序所必需的。一旦安装,该应用程序会要求用户授予与短信相关的权限,并将其重定向到虚假页面,该页面不仅窃取用户的登录凭证,还获取了他们的银行账户、信用卡/借记卡信息以及国民身份信息。所收集的数据与截获的短信消息一并转发到攻击者控制的服务器,使得攻击者能够执行未经授权的交易。值得注意的是,微软上个月也发出了警告,指出发生了一起类似的活动,该活动利用WhatsApp和Telegram作为传播渠道,瞄准印度在线银行用户。
来源:安全圈
原文始发于微信公众号(网安百色):资讯分享 | 新型隐蔽Android恶意软件Xamalicious已攻击超327000台设备
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论