xHelper重出江湖,你还在因它的自动重新安装机制头疼吗?
xHelper最早是由安全公司赛门铁克(Symantec)在2019年10月发现的一款恶意软件,它是一款持久的Android dropper应用程序,即使用户试图卸载它,它也能够自行重新安装。
xHelper活动开始于几个月前,仅在六个月内就感染了超过45,000台Android设备,感染轨迹快速攀升。
当时,赛门铁克预估,xHelper 每天平均造成 131 名新受害者,每月约有 2400 名新的受害者,主要分布在印度,美国和俄罗斯。
现在,卡巴斯基实验室的安全专家提供了有关恶意软件的技术细节,揭示了其功能以及恶意代码实现的持久性机制以及如何从受感染设备中删除xHelper。
该恶意软件作为一种流行的移动设备应用程序分发,卡巴斯基报告的大多数感染病例分布在俄罗斯(80.56%)、印度(3.43%)和阿尔及利亚(2.43%)。
图源:security affairs
一旦成功安装在移动设备上,“应用程序”将消失,并且只有通过检查系统设置中已安装应用程序的列表才能看到。
安装后,恶意应用程序将其自身注册为前台服务,并提取加密的有效负载,该负载收集有关受害者设备的信息(android id、制造商、型号、固件版本等),并将其发送到攻击者控制的服务器(https://lp.cooktracking[.]com/v1/ls/get)。
在此阶段,dropper跟踪的特洛伊木马dropper.AndroidOS.Helper.b被解密并启动,然后执行特洛伊木马下载程序.AndroidOS.Leech.p恶意软件,下载著名的带有一系列漏洞利用的HEUR:Trojan.AndroidOS.Triada.dd,并试图获取受害者设备上的根权限。
“恶意文件按顺序存储在 应用数据文件夹,其他程序无权访问。这个俄罗斯套娃样式的方案允许恶意软件作者遮盖痕迹,并使用安全解决方案已知的恶意模块。同时可以在中国制造商(包括ODM)运行的Android版本6和7的设备上获得根访问权限。获得权限后,xHelper 可以直接在系统分区中安装恶意文件。”
恶意代码在系统启动时以只读模式装载系统分区。利用根特权,它将分区重新装入写模式,并继续执行启动名为forever.sh的脚本的主要任务,然后利用Triada在其中安装恶意程序。
安装后,恶意软件等待来自C2的命令,它使用SSL证书固定来保护其通信。
卡巴斯基提醒:“还要记住,xHelper攻击的智能手机固件有时包含预装的恶意软件,这些软件可以独立下载和安装程序(包括xHelper)。在这种情况下,刷新是毫无意义的,因此值得考虑给设备安装其他硬件。但是这可能导致设备的某些组件可能无法正常运行。”
恶意软件安装一个后门,可以作为超级用户执行命令。它为攻击者提供了对所有应用程序数据的完全访问权限,也可被其他恶意软件使用,例如CookiteHief。
恶意代码为目标文件夹中的所有文件分配不可变属性,因此很难删除恶意软件,“因为系统甚至不允许超级用户删除具有此属性的文件。”
专家指出,xHelper还修改了一个系统库(libc.so),以防止受感染的用户在写模式下重新装载系统分区。
使用原始Android固件中的libc.so替换修改后的libc.so,用户可以在写模式下重新启用装载系统分区,并删除xHelper Android恶意软件。
“但是如果你在Android智能手机上设置了恢复模式,可以尝试从原始固件中提取libc.so文件并用它替换受感染的固件,然后再从系统分区中删除所有恶意软件。不过,刷机好像更简单、更可靠。”
文章翻译自:Securityaffairs
閱讀更多 安全圈 的文章
