Xamalicious后门可以完全控制目标Android设备,而不会被设备的安全解决方案检测到。尽管Google主动删除了这些应用程序,但第三方市场的威胁仍然存在,全球超过327000台设备受到威胁。


McAfee的移动研究团队发现了一种广泛传播的Android后门威胁,称为Xamalicious,展示了危害用户设备的复杂策略。该恶意软件利用了Xamarin框架,利用其功能在APK文件构建过程中隐藏恶意代码,使其能够在不被发现的情况下运行。


这种威胁旨在通过社会工程获得可访问权限,与命令和控制服务器通信以下载在运行时注入的第二阶段有效负载。


一旦安装,恶意软件就会完全控制设备,从而在未经用户同意的情况下进行各种欺诈行为,例如点击广告、安装应用程序以及其他出于经济动机的活动。


Xamalicious后门的与众不同之处在于它与臭名昭著的广告欺诈应用程序“Cash Magnet”的直接连接。此链接暴露了攻击背后的经济动机,因为Cash Magnet参与自动广告点击、应用程序安装和其他行为来产生欺诈性收入。


根据迈克菲移动研究团队的博客文章,已识别出大约25个携带Xamalicious后门的恶意应用程序,其中一些应用程序自2020年中期以来已渗透到Google Play。尽管Google主动删除了这些应用程序,但第三方市场的威胁仍然存在,超过327000台设备受到损害。


这种威胁的影响是深远的,影响到各大洲的用户。最重要的活动发生在美国、巴西、阿根廷、英国、西班牙和德国。



迈克菲敦促用户删除的一些受影响的应用程序包括:


1. LetterLink(信联)


2. Logo Maker Pro(LOGO生成专业版)


3. Track Your Sleep(睡眠追踪)


4. Auto Click Repeater(自动重复点击器)


5. Universal Calculator(万能计算器)


6. Sound Volume Booster(音量增强器)


7. Sound Volume Extender(音量扩展器)


8. Count Easy Calorie Calculator(卡路里简单计算器)


9. Step Keeper: Easy Pedometer(计步器:简易计步)


10. 3D Skin Editor for PE Minecraft(PE Minecraft的3D皮肤制作)


11. Essential Horoscope for Android(安卓的星座运势)


12. Astrological Navigator: Daily Horoscope & Tarot(占星导航:每日星座与塔罗)


13. NUMEROLOGY: PERSONAL HOROSCOPE & NUMBER PREDICTIONS.(命理学:星座运势和数字预测)


安装后,Xamalicious后门的第二阶段有效负载将授予恶意软件对设备的完全控制权。此功能允许恶意软件自行更新主APK并执行各种活动,从充当间谍软件到可能充当银行木马,所有这些都不需要用户交互。


Xamalicious后门的作案手法包括诱骗用户授予辅助功能服务权限。尽管操作系统手动发出警告,但恶意软件仍会利用漏洞并提示用户激活这些服务,从而在设备上站稳脚跟。



Xamalicious后门通过收集大量设备信息并与命令和控制服务器进行通信,超越了典型的恶意软件。通过使用JSON Web加密(JWE)令牌来保护通信。该恶意软件的DLL包含硬编码的RSA密钥值,为分析期间的潜在解密打开了大门。


如果您使用Android设备,那么保护它们免受Xamalicious恶意软件和其他新兴Android威胁至关重要。强烈建议用户在授予无障碍服务权限时务必谨慎,特别是当应用程序没有合法需求时。


建议安装信誉良好的安全软件(例如McAfee Mobile Security(迈克菲移动安全)),以降低与恶意软件感染相关的风险。定期更新对于确保持续防御移动环境中不断变化的威胁至关重要。保持知情,保持保护。