xHelper重出江湖,你還在因它的自動重新安裝機制頭疼嗎?
xHelper最早是由安全公司賽門鐵克(Symantec)在2019年10月發現的一款惡意軟件,它是一款持久的Android dropper應用程序,即使用戶試圖卸載它,它也能夠自行重新安裝。
xHelper活動開始於幾個月前,僅在六個月內就感染了超過45,000臺Android設備,感染軌跡快速攀升。
當時,賽門鐵克預估,xHelper 每天平均造成 131 名新受害者,每月約有 2400 名新的受害者,主要分佈在印度,美國和俄羅斯。
現在,卡巴斯基實驗室的安全專家提供了有關惡意軟件的技術細節,揭示了其功能以及惡意代碼實現的持久性機制以及如何從受感染設備中刪除xHelper。
該惡意軟件作為一種流行的移動設備應用程序分發,卡巴斯基報告的大多數感染病例分佈在俄羅斯(80.56%)、印度(3.43%)和阿爾及利亞(2.43%)。
圖源:security affairs
一旦成功安裝在移動設備上,“應用程序”將消失,並且只有通過檢查系統設置中已安裝應用程序的列表才能看到。
安裝後,惡意應用程序將其自身註冊為前臺服務,並提取加密的有效負載,該負載收集有關受害者設備的信息(android id、製造商、型號、固件版本等),並將其發送到攻擊者控制的服務器(https://lp.cooktracking[.]com/v1/ls/get)。
在此階段,dropper跟蹤的特洛伊木馬dropper.AndroidOS.Helper.b被解密並啟動,然後執行特洛伊木馬下載程序.AndroidOS.Leech.p惡意軟件,下載著名的帶有一系列漏洞利用的HEUR:Trojan.AndroidOS.Triada.dd,並試圖獲取受害者設備上的根權限。
“惡意文件按順序存儲在 應用數據文件夾,其他程序無權訪問。這個俄羅斯套娃樣式的方案允許惡意軟件作者遮蓋痕跡,並使用安全解決方案已知的惡意模塊。同時可以在中國製造商(包括ODM)運行的Android版本6和7的設備上獲得根訪問權限。獲得權限後,xHelper 可以直接在系統分區中安裝惡意文件。”
惡意代碼在系統啟動時以只讀模式裝載系統分區。利用根特權,它將分區重新裝入寫模式,並繼續執行啟動名為forever.sh的腳本的主要任務,然後利用Triada在其中安裝惡意程序。
安裝後,惡意軟件等待來自C2的命令,它使用SSL證書固定來保護其通信。
卡巴斯基提醒:“還要記住,xHelper攻擊的智能手機固件有時包含預裝的惡意軟件,這些軟件可以獨立下載和安裝程序(包括xHelper)。在這種情況下,刷新是毫無意義的,因此值得考慮給設備安裝其他硬件。但是這可能導致設備的某些組件可能無法正常運行。”
惡意軟件安裝一個後門,可以作為超級用戶執行命令。它為攻擊者提供了對所有應用程序數據的完全訪問權限,也可被其他惡意軟件使用,例如CookiteHief。
惡意代碼為目標文件夾中的所有文件分配不可變屬性,因此很難刪除惡意軟件,“因為系統甚至不允許超級用戶刪除具有此屬性的文件。”
專家指出,xHelper還修改了一個系統庫(libc.so),以防止受感染的用戶在寫模式下重新裝載系統分區。
使用原始Android固件中的libc.so替換修改後的libc.so,用戶可以在寫模式下重新啟用裝載系統分區,並刪除xHelper Android惡意軟件。
“但是如果你在Android智能手機上設置了恢復模式,可以嘗試從原始固件中提取libc.so文件並用它替換受感染的固件,然後再從系統分區中刪除所有惡意軟件。不過,刷機好像更簡單、更可靠。”
文章翻譯自:Securityaffairs
閱讀更多 安全圈 的文章
