xHelper木馬程式感染4.5萬台Android裝置 而且無法移除

安全廠商發現一隻手動移除還會重新安裝的新型Android惡意程式，6個月來已經感染了超過4.5萬台Android裝置。一旦進入Android裝置，xHelper將會顯示垃圾廣告引導使用者前往下載，還可能暗中下載其他惡意程式。

這隻程式是由安全廠商MalwareBytes 今年5月首先發現，賽門鐵克最近發現它開始大量蔓延，主要感染地區在印度、美國及俄羅斯等地。賽門鐵克指出，單是上個月內，xHelper一天平均感染131台裝置，整個月平均感染2,400台，而且從受害裝置來看，顯然攻擊者似乎特別著重某些品牌的手機。

xHelper的來源不明

目前xHelper來源不明。賽門鐵克懷疑它是透過使用者未知網站，隨著惡意系統程式下載到Android裝置上，然後運用高超的潛伏技巧躲過使用者耳目。MalwareBytes研究人員則相信它是透過可疑的遊戲程式網站，誘騙使用者下載。

xHelper自我隱匿的技術相當特別。當它安裝時不會在裝置主頁上建立App圖示或捷徑，唯一的蹤跡是在App資訊頁（全隱密模式）或手機系統通知（半隱密模式）出現xHelper的字樣。

由於它沒有App圖示，因此xHelper無法手動啟動。研究人員相信它仰賴外部事件，像是手機連上或拔除電源、重開機、安裝／移除App來啟動。啟動後它會以前景服務執行免於被發現或刪除。

根據受害者在網路論壇的描述，他們以手動刪除，甚至還原到出廠設定(factory reset)，不久後xHelper還是會自己重新安裝，幾乎是無法移除的夢魘。

好消息是xHelper「只會」顯示大量App垃圾廣告，目的在賺取下載佣金，至少目前還沒有變更受害裝置的系統檔案。但是研究人員發現，它會像一般的木馬程式和外部伺服器建立加密連線以等待指令，日後或許會下載第二階的惡意程式，包括dropper、clicker、rootkits，進行資料竊取攻擊或取得裝置遠端控制權。

研究人員說xHelper功能近來快速擴張。從它未完成的程式碼（許多變項有Jio的標籤）來判斷，攻擊者可能正在策劃近期將攻擊Jio用戶。Jio是印度最大民營企業信實企業(Reliance Industries)所有，為該國第二大行動電信業者，用戶超過300萬。

為免於遭這新型木馬程式之害，安全廠商建議用戶保持App和作業系統在更新版本，下載程式也最後僅從Google Play Store下載，也應特別留意你連上的網站。

來源：The Next Web