[PConline 資訊]不得不說,惡意軟件真的非常偏愛Android系統。因為就在近日,一款名為xHelper的Android超級惡意軟件正在肆意傳播。之所以定級為“超級”,原因在於用戶一旦被xHelper感染,即便刪除甚至恢復原廠設置,該病毒仍能在被感染的設備上重新安裝。
據瞭解,xHelper惡意軟件最早是被Symantec公司的研究團隊,於2019年10月發現。之後,該病毒在六個月內便感染了45000多臺Android設備,且仍在進行快速傳播。
這些感染的來源是“網絡重定向”,它會將用戶發送到託管Android應用程序的網頁。這些網站指導用戶如何從Play商店外部間接加載非官方的Android應用,這些應用程序中隱藏的代碼將下載xHelper木馬。
至於xHelper如何在恢復出廠設置後得以生存仍然是個謎。慶幸的是,該木馬目前沒有執行破壞性操作,不會篡改系統服務和系統應用程序,多數時間它會顯示侵入式彈出廣告和垃圾郵件通知。廣告和通知會將用戶重定向到Play商店,並要求用戶安裝其他應用程序,通過這種方式xHelper從按安裝付費的方式中賺錢。記得當時,Symantec的安全人員曾預估xHelper平均每月至少感染2400臺Android設備。
現在,卡巴斯基實驗室的安全專家已經提供了有關該惡意軟件功能的詳細信息以及惡意代碼實現的持久性機制,同時研究人員還提供瞭如何從受感染設備中刪除xHelper的措施。該惡意軟件是作為流行的移動設備清潔和速度優化應用程序分發的。
在入侵者成功安裝該惡意軟件後,應用程序會將其自身註冊為系統的前臺服務,並提取加密的有效負載,該有效負載會收集有關受害者設備相關信息並將其發送到入侵者服務器上。在此階段,入侵者會刪除原系統設備並啟動一個“Trojan-Dropper.AndroidOS.Helper.b”,然後運行該惡意軟件。
專家還表示,智能手機的固件也會受到xHelper的影響,因此在這種情況下,單純刷新手機系統是沒有意義的。同時,該惡意軟件安裝了後門程序,入侵者能夠以超級用戶的身份執行命令,因此入侵者對所有應用程序數據具有完全訪問權限。
xHelper病毒軟件還可以修改系統庫(libc.so),以防止受感染者重寫模式並重新掛載系統分區。因此,專家建議使用原始Android固件用戶在修改“ libc.so”後可以在重寫的模式下重新啟用安裝系統分區,並刪除xHelper Android惡意軟件。同時,研究人員還建議用戶可以嘗試從原始固件中提取libc.so文件,並用它替換受感染的文件,然後再從系統分區中去刪除所有惡意軟件。
