木马程式xHelper感染Android手机後几乎无法移除 名为xHelper的恶意程式不论遭手动移除、或装置以硬体还原到出厂设定後不久，都有办 法再自我安装，目前至少有4.5万台安卓装置感染这只木马，研判是藏在不安全的第三方 程式下载网站 文/林妍溱 | 2019-10-30发表 安全研究人员发现一只缠人的Android木马程式，一旦感染，不但安装时难以发现，即使 发现想删掉或还原到出厂设定後还会自动重新安装。6个月内已有4.5万用户遭到感染。 这只名为xHelper的恶意程式先是在8月间，首次被安全业者Malwarebyte发现及分析，最 近再度肆虐，众多使用者上论坛反映Android装置遭到感染，会在萤幕显示跳出式广告， 但不论移除或以硬体还原到出厂设定後不久它都会再自我安装，几乎无法根除。 赛门铁克评估，过去几个月至少有4.5万台装置遭到感染，平均一个月感染2,400台。主要 受害者分布在印度、美国及俄罗斯，而且似乎特别偏好某些款式的手机。 xHelper有几个特点让它难以被移除。首先，xHelper具备隐密安装能力，且有半隐密及全 隐密模式。它安装时不会建立捷径或是图示，使用者只可在手机系统通知或「应用程式资 讯」页面看见xHelper的踪迹。 其次，xHelper一旦在手机上启动即会注册为前景服务（foreground service），以免在 记忆体不足时被砍掉，一旦停止服务也会再启动。最厉害的是，xHelper使用了什麽手法 可以在删除或系统重置後还能重新自我安装，研究人员迄今还未完全找出原因。赛门铁克 仅发现，xHelper不像是系统预安装程式，而且它无法手动启动，而是由外部事件，像是 手机连网、拔除电源、手机重新开机、安装或移除某应用程式来开启，因此研究人员判断 ，可能是另一个恶意程式系统程式不断重新安装它。 至於它怎麽跑到Android手机上，研究人员指出，xHelper并未出现在Google Play Store 上，而是藏在使用者从不知名的第三方网站下载的程式而来。 一旦进入Android手机，xHelper最明显的行为是显示跳出式广告，导引使用者到Google Play Store上下载app，藉此赚取导引佣金。研究人员认为是背後组织的营收模式。虽然 它并没有修改系统服务档案，但是赛门铁克人员仍发现它会执行木马程式功能，和外部 C&C伺服器建立加密SSL连线以等待指令，可能下载dropper、clicker或rootkits等以便日 後行动。 研究人员提醒使用者，应避免从不安全的网站下载应用程式，并且在安装前应留意应用程 式要求的存取权限。此外也应确保防毒软体更新到最新版本。 https://www.ithome.com.tw/news/133906 心得: 也太可怕了吧,感觉每次有恶意的软体都是安卓中标,希望能学学ios的高安全性, 不然现在手机都会绑一堆个资,感觉很容易被泄漏.... 话说回来这个预防感觉有点难呀,除非都只用google play商店的软体, 但是安卓为的就是自由度,感觉以後再第三方下载得更加注意才行了... --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.82.180.152 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1572419059.A.E18.html