xHelper 木馬程式感染 4.5 萬台 Android 裝置 而且無法移除
安全廠商發現一隻手動移除還會重新安裝的新型 Android 惡意程式,6 個月來已經感染了超過 4.5 萬台 Android 裝置。一旦進入 Android 裝置,xHelper 將會顯示垃圾廣告引導使用者前往下載,還可能暗中下載其他惡意程式。
這隻程式是由安全廠商 MalwareBytes 今年 5 月首先發現,賽門鐵克最近發現它開始大量蔓延,主要感染地區在印度、美國及俄羅斯等地。賽門鐵克指出,單是上個月內,xHelper 一天平均感染 131 台裝置,整個月平均感染 2,400 台,而且從受害裝置來看,顯然攻擊者似乎特別著重某些品牌的手機。
xHelper 的來源不明
目前 xHelper 來源不明。賽門鐵克懷疑它是透過使用者未知網站,隨著惡意系統程式下載到 Android 裝置上,然後運用高超的潛伏技巧躲過使用者耳目。MalwareBytes 研究人員則相信它是透過可疑的遊戲程式網站,誘騙使用者下載。
xHelper 自我隱匿的技術相當特別。當它安裝時不會在裝置主頁上建立 App 圖示或捷徑,唯一的蹤跡是在 App 資訊頁(全隱密模式)或手機系統通知(半隱密模式)出現 xHelper 的字樣。
由於它沒有 App 圖示,因此 xHelper 無法手動啟動。研究人員相信它仰賴外部事件,像是手機連上或拔除電源、重開機、安裝/移除 App 來啟動。啟動後它會以前景服務執行免於被發現或刪除。
根據受害者在網路論壇的描述,他們以手動刪除,甚至還原到出廠設定 (factory reset),不久後 xHelper 還是會自己重新安裝,幾乎是無法移除的夢魘。
好消息是 xHelper「只會」顯示大量 App 垃圾廣告,目的在賺取下載佣金,至少目前還沒有變更受害裝置的系統檔案。但是研究人員發現,它會像一般的木馬程式和外部伺服器建立加密連線以等待指令,日後或許會下載第二階的惡意程式,包括 dropper、clicker、rootkits,進行資料竊取攻擊或取得裝置遠端控制權。
研究人員說 xHelper 功能近來快速擴張。從它未完成的程式碼(許多變項有 Jio 的標籤)來判斷,攻擊者可能正在策劃近期將攻擊 Jio 用戶。Jio 是印度最大民營企業信實企業 (Reliance Industries) 所有,為該國第二大行動電信業者,用戶超過 300 萬。
為免於遭這新型木馬程式之害,安全廠商建議用戶保持 App 和作業系統在更新版本,下載程式也最後僅從 Google Play Store 下載,也應特別留意你連上的網站。
來源:The Next Web