在过去的几个月中,数百名Android用户一直在网上抱怨一种新的神秘恶意软件,该恶意软件隐藏在受感染的设备上,其无法彻底删除的特性让用户苦恼。在过去六个月中,这种被称为Xhelper的恶意软件已经感染了超过45,000台Android设备,并且正在持续传播中,平均每月至少感染2400台设备。那么Xhelper来自何处呢?
该恶意软件的分发渠道多样,Xhelper正在通过网络重定向将用户发送到托管Android应用程序的网页。这些网站指导用户如何从PlayStore外部间接加载非官方的Android应用。之后应用程序中隐藏的代码将下载xHelper木马。但是目前并没有找到攻击者确切的来源,受影响的Android手机用户主要集中在印度,美国和俄罗斯。在用户安装后,Xhelper不会显示常规的用户界面。相反,它是作为应用程序组件安装的,以试图对用户隐藏。
为了启动自身,Xhelper依赖于一些外部事件触发进程,例如将受感染的设备与电源连接或断开连接、重新启动设备、安装或卸载应用程序等。
一旦启动,该恶意软件将通过加密通道连接到其远程命令和控制服务器,完全接管设备,并在受感染的Android设备上下载其他有效负载,例如Dropper,Clickers和Rootkit。
Xhelper仍在不断发展,定期发布代码更新,目前只是一些简单的垃圾邮件和弹出广告,之后的变体会怎样发展则无法预测,可能会有其他更危险的功能。
另外这个恶意软件恐怖的点在于无法永久删除,当用户删除之后,它会自动重新安装在受感染的设备上。即使用户使设备恢复出厂设置后也是如此。
由于尚不清楚该恶意软件的来源,因此建议Android用户采取简单而有效的预防措施,例如:* 本文由看雪编辑 LYA 编译自 The Hacker News,转载请注明来源及作者。
* 原文链接:
https://thehackernews.com/2019/10/remove-xhelper-android-malware.html
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458300386&idx=2&sn=48832abd9e3682fd0e5450fc4e80e8d7&chksm=b1819f6886f6167eec21b20fad4c5732a72ee60376734b1daa76f296b08fa909612b332ed614#rd
如有侵权请联系:admin#unsafe.sh