AndroidXLoader恶意软件的新变种可以自行启动

McAfee的安全研究人员发现了XLoaderAndroid恶意软件的一种新的、更危险的变种。它可以在受感染的Android设备上自动启动，无需用户交互。这种技术允许恶意软件在安装后立即执行恶意活动。

AndroidXLoader使用自动执行技术变得更加危险

XLoader(又名MoqHao)是一个著名的Android恶意软件家族，至少自2015年以来就已存在。该恶意软件由RoamingMantis威胁组织运营，此前已用于针对法国、德国、日本、韩国和韩国的Android用户。韩国、、英国和美国。

McAfee的移动研究团队最近发现，MoqHao已开始使用2022年7月首次发现的自动执行技术来分发恶意软件的新变种。分发方法是相同的-攻击者发送包含用于下载恶意应用程序的缩短链接的短信到潜在的受害者。

如果毫无戒心的用户点击该链接并继续安装伪装成GoogleChrome的应用程序，他们就会立即成为攻击的牺牲品。以前的变体需要用户在恶意软件激活之前打开应用程序，而新的XLoader变体可以在安装后自动启动。

该技术允许恶意软件在后台执行恶意活动，而无需用户交互。由于该应用程序伪装成GoogleChrome，因此进一步有助于避免检测。它诱骗用户授予始终在后台运行应用程序并访问文件、消息等的权限。该恶意软件甚至要求用户将自己设置为默认消息应用程序，声称这将有助于防止垃圾邮件。

攻击者用英语、韩语、法语、日语、德语和印地语策划了此弹出消息。这表明了他们当前的目标。初始化过程完成后，恶意软件将创建一个通知通道来显示网络钓鱼消息。它会检查设备的运营商并自动调整网络钓鱼消息。“MoqHao从Pinterest个人资料中获取网络钓鱼消息和网络钓鱼URL，”McAfee报告。

该恶意软件可以执行多种命令

如果Pinterest欺骗失败，XLoader会使用硬编码的网络钓鱼消息来显示用户银行帐户的问题。它敦促用户立即采取行动。攻击者还可以远程执行各种命令。McAfee报告称，恶意软件可以通过WebSocket协议从其命令和控制(C2)服务器接收20个命令。

一些最危险的命令包括将所有照片发送到控制服务器、将所有消息发送到控制服务器、向联系人发送新消息、导出保存的联系人、收集IMEI、SIM号码、AndroidID、序列号和其他设备标识符，发送HTTP请求以下载更多恶意软件等等。

据McAfee称，安装了GooglePlayServices的Android设备默认启用了GooglePlayProtect，可以免受此恶意软件的侵害。但是，仅从已知来源(例如GooglePlay商店)下载应用程序始终是安全的做法。据报道，谷歌还在研究一种方法，以防止在未来的Android版本(可能是Android15)中出现这种类型的自动执行。