即使恢复出厂设置也无效:Google Play 触发感染 xHelper

投稿时间:2020-02-15  消息来源:cnBeta.COM  提交者:幻竹

 

即使恢复出厂设置也无效:Google Play 触发感染 xHelper

 

研究人员得出结论称,通过入侵选民手机,攻击者几乎可以随意观察、压制和更改选票。

作者/来源: 安华金和

自 2019 年 5 月被安全厂商 Malwarebytes 曝光之后,Android 恶意程序 xHelper 就一直是手机厂商重点关注的对象。自那时开始,大多数 Android 安全应用程序都添加了 xHelper 检测,理论上意味着大多数设备应该已经受到保护,可以免受这种恶意程序的攻击。但事实上,想要彻底清除 xHelper 要比我们想象中困难的多,即使恢复出厂设置依然存在。

根据 Malwarebytes 的说法,这些感染的来源是“网络重定向”,它会将用户发送到托管 Android 应用程序的网页。这些网站指导用户如何从 Play 商店外部间接加载非官方的 Android 应用。这些应用程序中隐藏的代码将下载 xHelper 木马。

好消息是该木马目前没有执行破坏性操作,多数时间它会显示侵入式弹出广告和垃圾邮件通知。广告和通知会将用户重定向到 Play 商店,并要求用户安装其他应用程序——通过这种方式,xHelper 从按安装付费的方式中赚钱。

恼人的是 xHelper 服务无法删除,因为该木马每次都会重新安装自身,即使用户对整个设备进行了出厂重置后也是如此。xHelper 如何在恢复出厂设置后得以生存仍然是个谜。不过,Malwarebytes 和赛门铁克均表示 xHelper 不会篡改系统服务和系统应用程序。

xHelper 最早发现于 3 月。到 8 月,它逐渐感染了 32,000 多台设备。而截至去年10月,根据赛门铁克的数据,感染总量已达到 45,000。该恶意软件的感染轨迹不断上升。赛门铁克表示,xHelper 每天平均造成 131 名新受害者,每月约有 2400 名新的受害者。

在最新 Malwarebytes 报告中,写道:“即使 Google Play 没有恶意程序,但是 Google Play 中的某些事件触发了重新感染,可能是有某些文件存储其中。此外这些东西可能将 Google Play 作为伪装,从而安装其他来源的恶意程序。 ”

安全供应商详细说明了客户的设备感染了xHelper的情况。在仔细检查了受感染的Android手机上存储的文件之后,我们发现木马程序已嵌入到位于 com.mufc.umbtts 目录中的 APK 中。更糟糕的是,研究人员仍然不知道该漏洞如何使用 Google Play 触发感染。

Malwarebytes 研究人员解释说:“这是令人困惑的部分:设备上没有显示 Trojan.Dropper.xHelper.VRW 的安装。我们相信,它会在几秒钟内再次安装,运行和卸载,以逃避检测-所有这些都是由 Google Play 触发的。 ”

要清除感染,用户首先需要禁用 Google Play 商店,然后才使用防病毒软件运行设备扫描。否则,尽管该病毒显然已被删除,但该恶意软件仍将继续传播。

来源:cnBeta.COM

 

   顶一下    踩一下

评论内容

记得先输入验证码,再发布评论哦!(点击验证码小图可以更新)


返回
页首