Android超级恶意软件“xHelper” 恢复出产设置后仍能自动安装
最后更新:2020-04-11 12:39:12 手机定位技术交流文章
据国外媒体最近报道,4月10日,一款安卓超级恶意软件“xHelper”正在迅速蔓延。一旦感染了病毒,即使受害者删除或强制恢复系统的出厂设置,也可以在受感染的设备上重新安装“xHelper”。
据报道,该软件是由安全公司赛门铁克研究团队于2019年10月首次发现的。此后,它仅在6个月内就感染了45000多台安卓设备,并且仍在迅速蔓延。当时,安全公司赛门铁克(Symantec)估计,Xhelper恶意软件平均每月至少感染2400台设备,主要感染用户可能来自俄罗斯、印度和美国。
目前,卡巴斯基实验室的安全专家已经提供了关于恶意软件功能和恶意代码持久性机制的详细信息。与此同时,研究人员还提供了从受感染的设备上移除xHelper的措施。据了解,该恶意软件是作为流行的移动设备清洗和速度优化应用程序分发的。卡巴斯基报告说,大多数感染实际上发生在俄罗斯(80.56%)、印度(3.43%)和阿尔及利亚(2.43%)。
在入侵者成功安装恶意软件后,应用程序将自己注册为系统的前台服务,并提取加密的有效负载,该有效负载将收集关于受害设备的相关信息,并将其发送到入侵者服务器。在这个阶段,入侵者将删除原来的系统设备,并启动一个跟踪器“特洛伊木马滴管.安卓os.helper.b”,然后运行恶意软件。
卡巴斯基专家还表示,智能手机的固件也会受到xHelper的影响,所以在这种情况下,简单地刷新手机系统是没有意义的。同时,恶意软件安装了后门程序,入侵者可以作为超级用户执行命令,因此入侵者可以完全访问所有应用程序数据。
专家指出,xHelper病毒软件还可以修改系统库(libc.so),以防止被感染的人重写模式和重新安装系统分区。因此,专家建议,使用原安卓固件的用户可以在修改“libc.so”后,重新启用安装系统分区,并在重写模式下删除xHelper安卓恶意软件。同时,研究人员还建议用户可以尝试从原始固件中提取libc.so文件,用它替换受感染的文件,然后从系统分区中删除所有恶意软件。
本文由 在线网速测试 整理编辑,转载请注明出处。
