木馬程式xHelper感染Android手機後幾乎無 - 手機討論

木馬程式xHelper感染Android手機後幾乎無法移除

名為xHelper的惡意程式不論遭手動移除、或裝置以硬體還原到出廠設定後不久，都有辦
法再自我安裝，目前至少有4.5萬台安卓裝置感染這隻木馬，研判是藏在不安全的第三方
程式下載網站

文/林妍溱 | 2019-10-30發表

安全研究人員發現一隻纏人的Android木馬程式，一旦感染，不但安裝時難以發現，即使
發現想刪掉或還原到出廠設定後還會自動重新安裝。6個月內已有4.5萬用戶遭到感染。

這隻名為xHelper的惡意程式先是在8月間，首次被安全業者Malwarebyte發現及分析，最
近再度肆虐，眾多使用者上論壇反映Android裝置遭到感染，會在螢幕顯示跳出式廣告，
但不論移除或以硬體還原到出廠設定後不久它都會再自我安裝，幾乎無法根除。

賽門鐵克評估，過去幾個月至少有4.5萬台裝置遭到感染，平均一個月感染2,400台。主要
受害者分佈在印度、美國及俄羅斯，而且似乎特別偏好某些款式的手機。

xHelper有幾個特點讓它難以被移除。首先，xHelper具備隱密安裝能力，且有半隱密及全
隱密模式。它安裝時不會建立捷徑或是圖示，使用者只可在手機系統通知或「應用程式資
訊」頁面看見xHelper的蹤跡。

其次，xHelper一旦在手機上啟動即會註冊為前景服務（foreground service），以免在
記憶體不足時被砍掉，一旦停止服務也會再啟動。最厲害的是，xHelper使用了什麼手法
可以在刪除或系統重置後還能重新自我安裝，研究人員迄今還未完全找出原因。賽門鐵克
僅發現，xHelper不像是系統預安裝程式，而且它無法手動啟動，而是由外部事件，像是
手機連網、拔除電源、手機重新開機、安裝或移除某應用程式來開啟，因此研究人員判斷
，可能是另一個惡意程式系統程式不斷重新安裝它。

至於它怎麼跑到Android手機上，研究人員指出，xHelper並未出現在Google Play Store
上，而是藏在使用者從不知名的第三方網站下載的程式而來。

一旦進入Android手機，xHelper最明顯的行為是顯示跳出式廣告，導引使用者到Google
Play Store上下載app，藉此賺取導引佣金。研究人員認為是背後組織的營收模式。雖然
它並沒有修改系統服務檔案，但是賽門鐵克人員仍發現它會執行木馬程式功能，和外部
C&C伺服器建立加密SSL連線以等待指令，可能下載dropper、clicker或rootkits等以便日
後行動。

研究人員提醒使用者，應避免從不安全的網站下載應用程式，並且在安裝前應留意應用程
式要求的存取權限。此外也應確保防毒軟體更新到最新版本。

https://www.ithome.com.tw/news/133906

心得:
也太可怕了吧,感覺每次有惡意的軟體都是安卓中標,希望能學學ios的高安全性,
不然現在手機都會綁一堆個資,感覺很容易被洩漏....

話說回來這個預防感覺有點難呀,除非都只用google play商店的軟體,
但是安卓為的就是自由度,感覺以後再第三方下載得更加注意才行了...

--