Android恶意软件的顽固压力导致重置

它被称为令人讨厌的-哦,所有的东西都被重新感染了-并且有一个偷偷摸摸的理由:所有这些,令头痛的观察者称为xHelper,一旦被感染,这对您毫无帮助。恶意软件xHelper被识别为木马删除程序。

木马滴管?它会在您不知情或未经您许可的情况下,在您的手机上安装恶意APK, 说过 TechRadar。

顾名思义,公司Malw​​arebytes的恶意软件分析师Nathan Collier专门从事网络安全业务,他直接了解这种恶意软件删除程序及其对重复感染策略的持续使用。

Android Trojan xHelper是多么讨厌?高力 “到目前为止,这是我作为移动恶意软件研究人员遇到的最讨厌的感染。”他的工作总是使他相信,尽管最后的选择是恢复出厂设置甚至可以解决最严重的感染。

这次不行。

实际上,Collier说,该公司早在2019年就知道了这一点。 技术工作室,Malwarebytes将通过其Android防病毒应用程序检测得知xHelper位于33,000台“主要位于美国的设备上,这使该恶意软件成为Android的主要威胁之一”。

考虑报告 赛门铁克 早在2019年10月。

“赛门铁克发现对恶意Android应用程序的检测激增,该应用程序可以向用户隐藏自身,下载其他恶意应用程序并显示广告。”

即使用户卸载了Symantec,赛门铁克也保持了重新安装的能力。 Symantec(赛门铁克)表示,它旨在保持隐藏。它不会出现在系统的启动器上。

“该应用程序在过去六个月中已感染了超过45,000台设备。”最初,恶意软件的代码相对简单,但是随着时间的推移,代码发生了变化。 “起初,恶意软件将连接到C&C服务器的能力直接写入了恶意软件本身,但后来将此功能移到了加密的有效负载上,以逃避签名检测。一些较旧的变体包括未在Windows 2000上实现的空类。时间,但现在功能已完全启用。如前所述,Xhelper的功能最近已大大扩展。”

到2019年11月,位于安全林荫大道的布鲁斯·施耐尔(Bruce Schneier)知道,要锁定罪魁祸首并不容易。 “这是一种奇怪的恶意软件,”他 表示。 “这种持久性与民族国家的行为者有关。恶意软件的不断发展意味着有组织的行为者。但是发送有害的广告对于任何严重的使用来说都太嘈杂了。而且感染机制是相当随机的。我只是没有知道。”

同时,科利尔(Collier)将读者带入了最新的时代,“一位精通技术的用户于2020年1月上旬在Malwarebytes支持论坛上与我们联系:’我有一部手机感染了xhelper病毒。这种顽强的痛苦一直持续背部。’”

再次,棘手在于其持久性。 Collier报告说:“适用于Android的Malwarebytes已成功从她的移动设备中删除了xHelper和Trojan代理的两个变体。问题是,它在删除后的一个小时内一直在恢复。xHelper一遍又一遍地重新感染。”

Collier说xHelper的这一方面对他很突出,因为他无法回忆起出厂重置后感染持续存在的时间,除非该设备随附了预装的恶意软件。

与应用程序不同,即使恢复出厂设置,目录和文件仍保留在Android移动设备上。因此,在删除目录和文件之前,设备将继续受到感染。 “幸运的是,我得到了Amelia的帮助,他与xHelper一样坚持不懈地寻找答案并指导我们得出结论。”

罪魁祸首? 2020年,Collier取得了一些进展。他调查了,这就是他的发现。 “隐藏在名为com.mufc.umbtts的目录中的是另一个Android应用程序包(APK)。有问题的APK是特洛伊木马程序,我们迅速将其命名为Android / Trojan.Dropper.xHelper.VRW。它负责删除一个变体。 xHelper,随后可在几秒钟内丢弃更多恶意软件。”

更多的神秘事物浮出水面:在设备上的任何地方都没有显示出Trojan.Dropper.xHelper.VRW的安装。 “我们相信它会在几秒钟内再次安装,运行和卸载,以逃避检测,这一切都是由Google PLAY触发的。这背后的’方式’仍然未知。”

幸运的是,Collier写了关于xHelper的后续步骤。他有详细的说明。首先,Collier建议为Android安装免费的Malwarebytes。

他说要从Google PLAY安装文件管理器,该文件管理器可以搜索文件和目录。 Amelia使用了ASTRO的File Manager。科利尔表示暂时停用Google PLAY,以停止再次感染。后面有更多说明 清单

最后,Collier将读者带入了更大的视野:我们可能已经进入了移动恶意软件的新时代。 “使用包含可以逃避检测的APK的隐藏目录进行重新感染的能力既令人恐惧又令人沮丧。我们将继续在后台分析此恶意软件。同时,我们希望至少可以结束此特定变体的这一章xHelper。”

Cat Ellis,TechRadar:“如果您开始看到您不认识的新应用和通知图标,则您的手机可能已经感染了这种类型的恶意软件,尽管这种情况并不总是很明显;恶意软件通常被伪装成合法的系统应用程序,并且图标可以隐藏起来。”