Xamalicious后门可以完全控制目标Android设备，而不会被设备的安全解决方案检测到。尽管Google主动删除了这些应用程序，但第三方市场的威胁仍然存在，全球超过327000台设备受到威胁。

McAfee的移动研究团队发现了一种广泛传播的Android后门威胁，称为Xamalicious，展示了危害用户设备的复杂策略。该恶意软件利用了Xamarin框架，利用其功能在APK文件构建过程中隐藏恶意代码，使其能够在不被发现的情况下运行。

这种威胁旨在通过社会工程获得可访问权限，与命令和控制服务器通信以下载在运行时注入的第二阶段有效负载。

一旦安装，恶意软件就会完全控制设备，从而在未经用户同意的情况下进行各种欺诈行为，例如点击广告、安装应用程序以及其他出于经济动机的活动。

Xamalicious后门的与众不同之处在于它与臭名昭著的广告欺诈应用程序“Cash Magnet”的直接连接。此链接暴露了攻击背后的经济动机，因为Cash Magnet参与自动广告点击、应用程序安装和其他行为来产生欺诈性收入。

根据迈克菲移动研究团队的博客文章，已识别出大约25个携带Xamalicious后门的恶意应用程序，其中一些应用程序自2020年中期以来已渗透到Google Play。尽管Google主动删除了这些应用程序，但第三方市场的威胁仍然存在，超过327000台设备受到损害。

这种威胁的影响是深远的，影响到各大洲的用户。最重要的活动发生在美国、巴西、阿根廷、英国、西班牙和德国。

迈克菲敦促用户删除的一些受影响的应用程序包括：
1. LetterLink（信联）
2. Logo Maker Pro（LOGO生成专业版）
3. Track Your Sleep（睡眠追踪）
4. Auto Click Repeater（自动重复点击器）
5. Universal Calculator（万能计算器）
6. Sound Volume Booster（音量增强器）
7. Sound Volume Extender（音量扩展器）
8. Count Easy Calorie Calculator（卡路里简单计算器）
9. Step Keeper: Easy Pedometer（计步器：简易计步）
10. 3D Skin Editor for PE Minecraft（PE Minecraft的3D皮肤制作）
11. Essential Horoscope for Android（安卓的星座运势）
12. Astrological Navigator: Daily Horoscope & Tarot（占星导航：每日星座与塔罗）
13. NUMEROLOGY: PERSONAL HOROSCOPE & NUMBER PREDICTIONS.（命理学：星座运势和数字预测）

安装后，Xamalicious后门的第二阶段有效负载将授予恶意软件对设备的完全控制权。此功能允许恶意软件自行更新主APK并执行各种活动，从充当间谍软件到可能充当银行木马，所有这些都不需要用户交互。

Xamalicious后门的作案手法包括诱骗用户授予辅助功能服务权限。尽管操作系统手动发出警告，但恶意软件仍会利用漏洞并提示用户激活这些服务，从而在设备上站稳脚跟。

Xamalicious后门通过收集大量设备信息并与命令和控制服务器进行通信，超越了典型的恶意软件。通过使用JSON Web加密(JWE)令牌来保护通信。该恶意软件的DLL包含硬编码的RSA密钥值，为分析期间的潜在解密打开了大门。

如果您使用Android设备，那么保护它们免受Xamalicious恶意软件和其他新兴Android威胁至关重要。强烈建议用户在授予无障碍服务权限时务必谨慎，特别是当应用程序没有合法需求时。

建议安装信誉良好的安全软件（例如McAfee Mobile Security（迈克菲移动安全）），以降低与恶意软件感染相关的风险。定期更新对于确保持续防御移动环境中不断变化的威胁至关重要。保持知情，保持保护。