木馬程式xHelper感染Android手機後幾乎無法移除
名為xHelper的惡意程式不論遭手動移除、或裝置以硬體還原到出廠設定後不久,都有辦
法再自我安裝,目前至少有4.5萬台安卓裝置感染這隻木馬,研判是藏在不安全的第三方
程式下載網站
文/林妍溱 | 2019-10-30發表
安全研究人員發現一隻纏人的Android木馬程式,一旦感染,不但安裝時難以發現,即使
發現想刪掉或還原到出廠設定後還會自動重新安裝。6個月內已有4.5萬用戶遭到感染。
這隻名為xHelper的惡意程式先是在8月間,首次被安全業者Malwarebyte發現及分析,最
近再度肆虐,眾多使用者上論壇反映Android裝置遭到感染,會在螢幕顯示跳出式廣告,
但不論移除或以硬體還原到出廠設定後不久它都會再自我安裝,幾乎無法根除。
賽門鐵克評估,過去幾個月至少有4.5萬台裝置遭到感染,平均一個月感染2,400台。主要
受害者分佈在印度、美國及俄羅斯,而且似乎特別偏好某些款式的手機。
xHelper有幾個特點讓它難以被移除。首先,xHelper具備隱密安裝能力,且有半隱密及全
隱密模式。它安裝時不會建立捷徑或是圖示,使用者只可在手機系統通知或「應用程式資
訊」頁面看見xHelper的蹤跡。
其次,xHelper一旦在手機上啟動即會註冊為前景服務(foreground service),以免在
記憶體不足時被砍掉,一旦停止服務也會再啟動。最厲害的是,xHelper使用了什麼手法
可以在刪除或系統重置後還能重新自我安裝,研究人員迄今還未完全找出原因。賽門鐵克
僅發現,xHelper不像是系統預安裝程式,而且它無法手動啟動,而是由外部事件,像是
手機連網、拔除電源、手機重新開機、安裝或移除某應用程式來開啟,因此研究人員判斷
,可能是另一個惡意程式系統程式不斷重新安裝它。
至於它怎麼跑到Android手機上,研究人員指出,xHelper並未出現在Google Play Store
上,而是藏在使用者從不知名的第三方網站下載的程式而來。
一旦進入Android手機,xHelper最明顯的行為是顯示跳出式廣告,導引使用者到Google
Play Store上下載app,藉此賺取導引佣金。研究人員認為是背後組織的營收模式。雖然
它並沒有修改系統服務檔案,但是賽門鐵克人員仍發現它會執行木馬程式功能,和外部
C&C伺服器建立加密SSL連線以等待指令,可能下載dropper、clicker或rootkits等以便日
後行動。
研究人員提醒使用者,應避免從不安全的網站下載應用程式,並且在安裝前應留意應用程
式要求的存取權限。此外也應確保防毒軟體更新到最新版本。
https://www.ithome.com.tw/news/133906
心得:
也太可怕了吧,感覺每次有惡意的軟體都是安卓中標,希望能學學ios的高安全性,
不然現在手機都會綁一堆個資,感覺很容易被洩漏....
話說回來這個預防感覺有點難呀,除非都只用google play商店的軟體,
但是安卓為的就是自由度,感覺以後再第三方下載得更加注意才行了...