手机病毒｜33万人下载游戏Apps藏后门、感染后黑客可遥距控制手机

手机病毒藏后门上架｜Google 手机系统 Android 近一年加强了 Apps 方面的审查，像以往 Joker、Xenomorph 等大规模感染事件已经消减不少。

然而黑客们最近似乎又掌握了新技俩，最近被发现的恶意程序有不少是藏于可正常运作的程式模块中被带入 Apps 中，以逃过 Google Play 的审查并散布，有时甚至连 Apps 的开发者本人都毫不知情，日前最新发现的“Xamalicious”就是一例。

Android 后门程式隐藏于游戏／实用 Apps 上架

互联网安全公司McAfee的报导，一种名为“Xamalicious”的 Android后门程式最近被发现隐藏在Google Play商店上的恶意应用程式中，已经感染了超过 33 万部 Android 设备。

McAfee 在 Google Play 上发现了 14 个包含 Xamalicious 后门程式的应用，其中 3 个应用各被下载了 10 万次。这些应用虽已被 Google Play移除，但自 2020 年年中开始安装这些 Apps 的用户，手机上可能仍存有活跃的Xamalicious感染，需要手动进行扫描和清理。

目前已经被发现感染 Xamalicious 的 Apps 包括👇👇👇

Essential Horoscope for Android - 10万次下载

3D Skin Editor for PE Minecraft - 10万次下载

Logo Maker Pro - 10万次下载

Auto Click Repeater - 1万次下载

Count Easy Calorie Calculator - 1万次下载

Dots: One Line Connector - 1万次下载

Sound Volume Extender - 5000次下载

善用一技俩令后门难以被侦测

Xamalicious 是一个以 .NET 为基础的 Android 后门程式，它隐藏在一个开源的程式问发框架Xamarin 当中，放在网上免费供不同的开发者取用，由于使用 Xamarin 开发的 Apps 绝大部份都具有实际功能，这大大减少了其被用户发现的可能性，亦增加了 Google Play 方面分析其代码的难度。

在安装后，Xamalicious 会要求获取“无障碍服务”的权限，以执行如导航手势、隐藏画面元素等特权操作。感染成功后，它会与命令控制伺服器联系，在符合地理位置、互联网、设备配置和Root权限等先决条件时，获取第二阶段的恶意代码，当完成此阶段的操作后，黑客等如遥距取得了手机的控制权，能执行的命令包括:

•收集设备和硬体信息

•判断设备地理位置

•侦测模拟器状态

•列出已安装的应用程式

•报告无障碍服务权限状态

•从伺服器下载第二阶段的恶意代码

除了可以进一步窃取用户财产及控制手机作其他非法用途，McAfee 认为 Xamalicious 可能也会在感染的设备上执行广告欺诈以获利。

病毒／恶意 Apps 4 大危险特征

出于系统的特性，未来 Android 似乎都未能从危险病毒 Apps 的威胁中解脱，但其实这些植入恶意程序的 Apps 设计都是千篇一律，为了保护自己的个人资料，认清以下的特征可以防患未然👇👇👇