木马程式xHelper感染Android手机后几乎无法移除
名为xHelper的恶意程式不论遭手动移除、或装置以硬件还原到出厂设定后不久,都有办
法再自我安装,目前至少有4.5万台安卓装置感染这只木马,研判是藏在不安全的第三方
程式下载网站
文/林妍溱 | 2019-10-30发表
安全研究人员发现一只缠人的Android木马程式,一旦感染,不但安装时难以发现,即使
发现想删掉或还原到出厂设定后还会自动重新安装。6个月内已有4.5万用户遭到感染。
这只名为xHelper的恶意程式先是在8月间,首次被安全业者Malwarebyte发现及分析,最
近再度肆虐,众多使用者上论坛反映Android装置遭到感染,会在萤幕显示跳出式广告,
但不论移除或以硬件还原到出厂设定后不久它都会再自我安装,几乎无法根除。
赛门铁克评估,过去几个月至少有4.5万台装置遭到感染,平均一个月感染2,400台。主要
受害者分布在印度、美国及俄罗斯,而且似乎特别偏好某些款式的手机。
xHelper有几个特点让它难以被移除。首先,xHelper具备隐密安装能力,且有半隐密及全
隐密模式。它安装时不会建立捷径或是图示,使用者只可在手机系统通知或“应用程式资
讯”页面看见xHelper的踪迹。
其次,xHelper一旦在手机上启动即会注册为前景服务(foreground service),以免在
内存不足时被砍掉,一旦停止服务也会再启动。最厉害的是,xHelper使用了什么手法
可以在删除或系统重置后还能重新自我安装,研究人员迄今还未完全找出原因。赛门铁克
仅发现,xHelper不像是系统预安装程式,而且它无法手动启动,而是由外部事件,像是
手机连网、拔除电源、手机重新开机、安装或移除某应用程式来开启,因此研究人员判断
,可能是另一个恶意程式系统程式不断重新安装它。
至于它怎么跑到Android手机上,研究人员指出,xHelper并未出现在Google Play Store
上,而是藏在使用者从不知名的第三方网站下载的程式而来。
一旦进入Android手机,xHelper最明显的行为是显示跳出式广告,导引使用者到Google
Play Store上下载app,借此赚取导引佣金。研究人员认为是背后组织的营收模式。虽然
它并没有修改系统服务档案,但是赛门铁克人员仍发现它会执行木马程式功能,和外部
C&C服务器建立加密SSL连线以等待指令,可能下载dropper、clicker或rootkits等以便日
后行动。
研究人员提醒使用者,应避免从不安全的网站下载应用程式,并且在安装前应留意应用程
式要求的存取权限。此外也应确保防毒软件更新到最新版本。
https://www.ithome.com.tw/news/133906
心得:
也太可怕了吧,感觉每次有恶意的软件都是安卓中标,希望能学学ios的高安全性,
不然现在手机都会绑一堆个资,感觉很容易被泄漏....
话说回来这个预防感觉有点难呀,除非都只用google play商店的软件,
但是安卓为的就是自由度,感觉以后再第三方下载得更加注意才行了...