xHelper木馬程式感染4.5萬台Android裝置 而且無法移除
安全廠商發現一隻手動移除還會重新安裝的新型Android惡意程式,6個月來已經感染了超過4.5萬台Android裝置。一旦進入Android裝置,xHelper將會顯示垃圾廣告引導使用者前往下載,還可能暗中下載其他惡意程式。
這隻程式是由安全廠商MalwareBytes 今年5月首先發現,賽門鐵克最近發現它開始大量蔓延,主要感染地區在印度、美國及俄羅斯等地。賽門鐵克指出,單是上個月內,xHelper一天平均感染131台裝置,整個月平均感染2,400台,而且從受害裝置來看,顯然攻擊者似乎特別著重某些品牌的手機。
xHelper的來源不明
目前xHelper來源不明。賽門鐵克懷疑它是透過使用者未知網站,隨著惡意系統程式下載到Android裝置上,然後運用高超的潛伏技巧躲過使用者耳目。MalwareBytes研究人員則相信它是透過可疑的遊戲程式網站,誘騙使用者下載。
xHelper自我隱匿的技術相當特別。當它安裝時不會在裝置主頁上建立App圖示或捷徑,唯一的蹤跡是在App資訊頁(全隱密模式)或手機系統通知(半隱密模式)出現xHelper的字樣。
由於它沒有App圖示,因此xHelper無法手動啟動。研究人員相信它仰賴外部事件,像是手機連上或拔除電源、重開機、安裝/移除App來啟動。啟動後它會以前景服務執行免於被發現或刪除。
根據受害者在網路論壇的描述,他們以手動刪除,甚至還原到出廠設定(factory reset),不久後xHelper還是會自己重新安裝,幾乎是無法移除的夢魘。
好消息是xHelper「只會」顯示大量App垃圾廣告,目的在賺取下載佣金,至少目前還沒有變更受害裝置的系統檔案。但是研究人員發現,它會像一般的木馬程式和外部伺服器建立加密連線以等待指令,日後或許會下載第二階的惡意程式,包括dropper、clicker、rootkits,進行資料竊取攻擊或取得裝置遠端控制權。
研究人員說xHelper功能近來快速擴張。從它未完成的程式碼(許多變項有Jio的標籤)來判斷,攻擊者可能正在策劃近期將攻擊Jio用戶。Jio是印度最大民營企業信實企業(Reliance Industries)所有,為該國第二大行動電信業者,用戶超過300萬。
為免於遭這新型木馬程式之害,安全廠商建議用戶保持App和作業系統在更新版本,下載程式也最後僅從Google Play Store下載,也應特別留意你連上的網站。
來源:The Next Web