神秘恶意软件感染了超过45000部Android手机

LYA 看雪学院 2021-03-09

图片来源：ZDNet

恶意软件大多数是木马和病毒的结合体。

传播途径多，隐蔽机制好。

一旦执行攻击，则会让用户烦不胜烦。

Xhelper

在过去的几个月中，数百名Android用户一直在网上抱怨一种新的神秘恶意软件，该恶意软件隐藏在受感染的设备上，其无法彻底删除的特性让用户苦恼。

在过去六个月中，这种被称为Xhelper的恶意软件已经感染了超过45,000台Android设备，并且正在持续传播中，平均每月至少感染2400台设备。

那么Xhelper来自何处呢？

该恶意软件的分发渠道多样，Xhelper正在通过网络重定向将用户发送到托管Android应用程序的网页。这些网站指导用户如何从PlayStore外部间接加载非官方的Android应用。之后应用程序中隐藏的代码将下载xHelper木马。

但是目前并没有找到攻击者确切的来源，受影响的Android手机用户主要集中在印度，美国和俄罗斯。

Xhelper如何工作

在用户安装后，Xhelper不会显示常规的用户界面。相反，它是作为应用程序组件安装的，以试图对用户隐藏。

为了启动自身，Xhelper依赖于一些外部事件触发进程，例如将受感染的设备与电源连接或断开连接、重新启动设备、安装或卸载应用程序等。

一旦启动，该恶意软件将通过加密通道连接到其远程命令和控制服务器，完全接管设备，并在受感染的Android设备上下载其他有效负载，例如Dropper，Clickers和Rootkit。

Xhelper仍在不断发展，定期发布代码更新，目前只是一些简单的垃圾邮件和弹出广告，之后的变体会怎样发展则无法预测，可能会有其他更危险的功能。

另外这个恶意软件恐怖的点在于无法永久删除，当用户删除之后，它会自动重新安装在受感染的设备上。即使用户使设备恢复出厂设置后也是如此。

由于尚不清楚该恶意软件的来源，因此建议Android用户采取简单而有效的预防措施，例如：

* 本文由看雪编辑 LYA 编译自 The Hacker News，转载请注明来源及作者。

* 原文链接：

https://thehackernews.com/2019/10/remove-xhelper-android-malware.html