xHelper 木馬程式感染 4.5 萬台 Android 裝置 而且無法移除

安全廠商發現一隻手動移除還會重新安裝的新型 Android 惡意程式，6 個月來已經感染了超過 4.5 萬台 Android 裝置。一旦進入 Android 裝置，xHelper 將會顯示垃圾廣告引導使用者前往下載，還可能暗中下載其他惡意程式。

這隻程式是由安全廠商 MalwareBytes 今年 5 月首先發現，賽門鐵克最近發現它開始大量蔓延，主要感染地區在印度、美國及俄羅斯等地。賽門鐵克指出，單是上個月內，xHelper 一天平均感染 131 台裝置，整個月平均感染 2,400 台，而且從受害裝置來看，顯然攻擊者似乎特別著重某些品牌的手機。

xHelper 的來源不明

目前 xHelper 來源不明。賽門鐵克懷疑它是透過使用者未知網站，隨著惡意系統程式下載到 Android 裝置上，然後運用高超的潛伏技巧躲過使用者耳目。MalwareBytes 研究人員則相信它是透過可疑的遊戲程式網站，誘騙使用者下載。

xHelper 自我隱匿的技術相當特別。當它安裝時不會在裝置主頁上建立 App 圖示或捷徑，唯一的蹤跡是在 App 資訊頁（全隱密模式）或手機系統通知（半隱密模式）出現 xHelper 的字樣。

由於它沒有 App 圖示，因此 xHelper 無法手動啟動。研究人員相信它仰賴外部事件，像是手機連上或拔除電源、重開機、安裝／移除 App 來啟動。啟動後它會以前景服務執行免於被發現或刪除。

根據受害者在網路論壇的描述，他們以手動刪除，甚至還原到出廠設定 (factory reset)，不久後 xHelper 還是會自己重新安裝，幾乎是無法移除的夢魘。

好消息是 xHelper「只會」顯示大量 App 垃圾廣告，目的在賺取下載佣金，至少目前還沒有變更受害裝置的系統檔案。但是研究人員發現，它會像一般的木馬程式和外部伺服器建立加密連線以等待指令，日後或許會下載第二階的惡意程式，包括 dropper、clicker、rootkits，進行資料竊取攻擊或取得裝置遠端控制權。

研究人員說 xHelper 功能近來快速擴張。從它未完成的程式碼（許多變項有 Jio 的標籤）來判斷，攻擊者可能正在策劃近期將攻擊 Jio 用戶。Jio 是印度最大民營企業信實企業 (Reliance Industries) 所有，為該國第二大行動電信業者，用戶超過 300 萬。

為免於遭這新型木馬程式之害，安全廠商建議用戶保持 App 和作業系統在更新版本，下載程式也最後僅從 Google Play Store 下載，也應特別留意你連上的網站。

來源：The Next Web