手機病毒｜33萬人下載遊戲Apps藏後門、感染後黑客可遙距控制手機

手機病毒藏後門上架｜Google 手機系統 Android 近一年加強了 Apps 方面的審查，像以往 Joker、Xenomorph 等大規模感染事件已經消減不少。

然而黑客們最近似乎又掌握了新技倆，最近被發現的惡意程序有不少是藏於可正常運作的程式模塊中被帶入 Apps 中，以逃過 Google Play 的審查並散布，有時甚至連 Apps 的開發者本人都毫不知情，日前最新發現的「Xamalicious」就是一例。

Android 後門程式隱藏於遊戲／實用 Apps 上架

網路安全公司McAfee的報導，一種名為「Xamalicious」的 Android後門程式最近被發現隱藏在Google Play商店上的惡意應用程式中，已經感染了超過 33 萬部 Android 設備。

McAfee 在 Google Play 上發現了 14 個包含 Xamalicious 後門程式的應用，其中 3 個應用各被下載了 10 萬次。這些應用雖已被 Google Play移除，但自 2020 年年中開始安裝這些 Apps 的用戶，手機上可能仍存有活躍的Xamalicious感染，需要手動進行掃描和清理。

目前已經被發現感染 Xamalicious 的 Apps 包括👇👇👇

Essential Horoscope for Android - 10萬次下載

3D Skin Editor for PE Minecraft - 10萬次下載

Logo Maker Pro - 10萬次下載

Auto Click Repeater - 1萬次下載

Count Easy Calorie Calculator - 1萬次下載

Dots: One Line Connector - 1萬次下載

Sound Volume Extender - 5000次下載

善用一技倆令後門難以被偵測

Xamalicious 是一個以 .NET 為基礎的 Android 後門程式，它隱藏在一個開源的程式問發框架Xamarin 當中，放在網上免費供不同的開發者取用，由於使用 Xamarin 開發的 Apps 絕大部份都具有實際功能，這大大減少了其被用戶發現的可能性，亦增加了 Google Play 方面分析其代碼的難度。

在安裝後，Xamalicious 會要求獲取「無障礙服務」的權限，以執行如導航手勢、隱藏畫面元素等特權操作。感染成功後，它會與命令控制伺服器聯繫，在符合地理位置、網路、設備配置和Root權限等先決條件時，獲取第二階段的惡意代碼，當完成此階段的操作後，黑客等如遙距取得了手機的控制權，能執行的命令包括:

•收集設備和硬體信息

•判斷設備地理位置

•偵測模擬器狀態

•列出已安裝的應用程式

•報告無障礙服務權限狀態

•從伺服器下載第二階段的惡意代碼

除了可以進一步竊取用戶財產及控制手機作其他非法用途，McAfee 認為 Xamalicious 可能也會在感染的設備上執行廣告欺詐以獲利。

病毒／惡意 Apps 4 大危險特徵

出於系統的特性，未來 Android 似乎都未能從危險病毒 Apps 的威脅中解脫，但其實這些植入惡意程序的 Apps 設計都是千篇一律，為了保護自己的個人資料，認清以下的特徵可以防患未然👇👇👇