在過去的六個月裡,一種新的Android惡意軟件病毒已經引起多家反病毒公司的關注。可怕的是這種木馬會自動重新安裝機制導致使其幾乎無法刪除。手機防病毒軟件,恢復出廠模式都無濟於事。
這款名為xHelper的惡意軟件最早發現於今年年3月,Malwarebytes數據顯示到8月份(以Malwarebytes為單位)已經感染了32000臺設備,根據賽門鐵克的統計截止本月已經感染了45000。
趨勢顯示該惡意軟件還在不斷感染擴展中。賽門鐵克表示,xHelper病源正在以每天131臺趨勢逐漸感染,每月約會新增2400名新受害者。感染用戶大多位於印度,美國和俄羅斯。
擴展途徑:通過第三方應用安裝
根據Malwarebytes的研究,這些病毒感染途徑為WEB重定向。通過WEB重定向將用戶發跳轉到Android應用程序的網頁。網站指導用戶從Play商店外部間接加載非官方的Android應用。這些應用程序中隱藏的代碼會偷偷下載xHelper木馬。
好消息是該木馬不會做破壞性操作。根據Malwarebytes和Symantec的研究,在其大部分使用壽命中,該木馬都只會顯示侵入式彈出廣告和垃圾郵件通知。這些廣告和通知會將用戶重定向到Play商店,要求受害者安裝其他應用程序,通過這種方式,xHelper從安裝付費獲得佣金。
最"有趣"的是xHelper不能像大多數其他安卓惡意APP一樣工作。一旦木馬通過初始應用獲得對安卓設備的訪問權限,xHelper就會將其自身安裝為單獨的獨立服務。
卸載原始應用程序不會刪除xHelper,該木馬會繼續存在於用戶的設備上,並繼續顯示彈出窗口和通知垃圾郵件。
無法徹底清除
即使用戶在安卓的應用程序管理中發現了xHelper服務,也無法刪除它,因為該木馬每次都會重新安裝自身,即使用戶對設備恢復出廠設置也無用。
xHelper如何在恢復出廠設置還能存在,目前不得而知。Malwarebytes和賽門鐵克均表示xHelper不會篡改系統服務系統應用程序。賽門鐵克還表示,"不太可能設備上預裝了Xhelper"。
在某些情況下,用戶說,即使他們刪除了xHelper服務,然後禁用"從未知來源安裝應用程序"選項,該設置仍會自動重新打開,並且在設備清除操作後的幾分鐘內就能重新感染。
在過去的幾個月中,許多用戶在Reddit,谷歌 Play幫助或其他技術支持論壇上反應xHelper木馬無法清除:。
有一些用戶報告說通過使用某些付費版本的防病毒軟件可以清除,但是也有其他用戶用戶表示否定。
賽門鐵克在今日發佈的博客文章中說,該木馬正在不斷更新,定期發佈新的代碼更新,這解釋了為什麼某些防病毒軟件在某些情況下可以刪除xHelper,而在以後的版本中卻不行。
xHelper和移動防病毒廠商之間似乎存在一場戰鬥,沒推出一種解決方案後病毒都會學習改進,"道高一尺,魔高一丈"!
賽門鐵克和Malwarebytes都已經發布了有關xHelper功能的警告。儘管該木馬目前只會發送垃圾郵件和彈出廣告牟利,但是不排除後續會推出有其他更危險的功能。兩個安全廠商都表示,xHelper可以下載並安裝其他應用程序,xHelper團隊可以在任何時候使用該功能來下載安裝其他惡意木馬,比如勒索軟件,手銀木馬,DDoS殭屍程序或密碼竊取程序等。
防禦
防禦措施,為了防患於未然,請遵循三不原則:不要瀏覽不明來源的網站,不要下載不明來源的APP,不要給任何APP額外的權限。
閱讀更多 蟲蟲安全 的文章
