McAfee 移动研究团队发现了一个名为 Xamalicious 的新型安卓后门,它能够完全控制设备并执行欺诈行为。该恶意软件是利用 Xamarin 实现的,这是一个开源框架,允许使用 .NET 和 C# 构建安卓和 iOS 应用程序。
Xamalicious 通过社会工程学手段获取辅助功能权限,然后连接到 C2 以评估是否下载第二阶段的有效载荷。恶意有效载荷在运行时以装配 DLL 的形式动态注入,以完全控制设备并执行广泛的欺诈行为,例如点击广告和安装应用程序。
第二阶段的有效载荷利用在第一阶段获得的强大辅助功能服务来完全控制被感染设备。恶意代码还支持主 APK 的自更新机制,使威胁非常多样化。
专家们发现了 Xamalicious 与广告欺诈应用“Cash Magnet”之间存在联系,黑客利用此应用控制设备点击广告、安装应用程序和执行其他操作以获取收入。
研究人员认为,黑客出于经济动机开发了该后门软件。
使用 Xamarin 框架使得黑客能够长时间不被发现。他们还采用了各种混淆技术和定制加密,以避免被检测。
McAfee 发现了大约 25 个不同的恶意应用,其中一些自 2020 年年中以来就已经被上传到 Google Play。谷歌已经迅速将这些恶意软件应用从 Google Play 上移除。
“根据这些应用的安装数量,它们可能已经在 Google Play 上损害了至少 32.7 万台设备,还有从第三方市场下载的安装,这些市场根据 McAfee 客户在全球范围内的检测数据不断产生新的感染。” McAfee 发布的报告中写道。“Android/Xamalicious 木马应用与健康、游戏、星座和生产力相关。这些应用中的大多数仍然可以在第三方市场上下载。”
为了规避分析和检测,该恶意软件对所有的 C2 通信进行了加密。这种加密不仅限于 HTTPS 保护,还利用了 RSA-OAEP 和 128CBC-HS256 算法加密的 JSON Web Encryption(JWE)令牌。然而,研究人员注意到 Xamalicious 使用的 RSA 密钥值是硬编码在反编译的恶意 DLL 中的,这使得在分析期间如果 C2 基础架构是可访问的,就可以解密传输的信息。
大多数感染发生在美国、巴西、阿根廷、英国、西班牙和德国。
“使用 Flutter、React Native 和 Xamarin 等非 Java 代码编写的 Android 应用会为恶意软件作者提供额外的混淆层,他们有意选择这些工具以避免被检测,并试图保持在安全供应商的监测范围之外,从而保证这些恶意软件不被移除。” 报告总结道。“在一般情况下,建议用户不要使用需要辅助访问权限的应用程序,除非出于特定需求。如果一个应用程序试图在没有充分理由的情况下激活辅助功能,并且要求用户忽略操作系统的安全警告,那么这个应用程序可能存在重大安全风险。”
消息来源:securityaffairs,译者:Leopold;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”,原文链接:https://hackernews.cc/archives/48568
暂无评论内容