Android木马在4个月内感染了数以万计的设备
自5月以来,观察到一种名为xHelper的新型特洛伊木马,缓慢而稳定地传播到越来越多的Android设备,过去四个月内已发现超过32,000部智能手机和平板电脑被感染。
黑客使用的工具是特洛伊木马下载程序,在设备后台默默下载其他更危险的恶意软件,包括但不限于劫持木马、银行木马和勒索软件。
发现它的malwarebytes实验室的研究人员称它为android/trojan.dropper.xhelper,最初被标记为一个通用的特洛伊木马下载程序,但仅仅在几个月的时间里就爬进了安全供应商的十大最易检测的移动恶意软件的行列。
xHelper还可以伪装成JAR归档的DEX (Dalvik可执行文件)文件进行传播,其中包含编译的Android应用程序代码。
这种感染新Android设备的方法非常独特,因为传统的移动木马程序都是使用恶意的APK (Android包),这些APK随后会被放入Assets文件夹中,然后安装在受感染的智能手机或平板电脑上并执行。
xhelper作为其感染过程的一部分,首先解密dex文件、然后使用dex2oat编译器工具编译成elf(可执行和可链接格式)二进制文件,由设备处理器本地执行。
通过使用这种复杂的技术,Xhelper的作者大大降低了Xhelper被检测到的可能性,同时也隐藏了他们的真实意图和目标。
为了分析加密的DEX文件,研究人员让它感染一个Android设备,从其存储中导出解密的版本。然而,这个版本被混淆了,所有发现的样本的源代码都有不同的特点,“这使得很难准确地确定移动恶意软件的目标是什么。”
Malwarebytes实验室的高级恶意软件情报分析师Nathan Collier说:“不过,我相信它的主要功能是允许远程命令发送到移动设备,与它像后门一样隐藏在后台的行为保持一致。”
在分析了所有样本后,研究人员还发现xHelper有两种截然不同的变体,一种是在完全隐身模式下完成其恶意任务,另一种是通过受损的Android设备偷偷地工作。
隐形变体避免在受感染设备上创建任何图标,并且不会有任何类型的警报来提示它的存在,唯一的标志是将其作为应用信息部分中的xhelper列表。
点击其中一个通知后,受害者会被重定向到带有浏览器游戏的网站,这些游戏虽然无害,但极有可能让恶意软件运营商从每次访问所产生的点击利润中收取一定比例的费用。
传播方式仍然未知
鉴于其显示出快速感染新设备的能力,xHelper绝对是一个需要考虑的威胁。Malwarebytes Labs在短短四个月内就在近33,000台移动设备上发现了它,而且仅覆盖安装了Malwarebytes for Android的Android设备。
正如研究人员所说,受损的智能手机和平板电脑的数量每天都在增加,每天都有数以百计的新目标被感染。
虽然尚未发现确切的感染方式,但分析表明,xHelper在美国的IP地址上托管。一个在纽约市,另一个在德克萨斯州达拉斯。
研究人员说:“这种移动感染是通过网络重定向传播的,可能是通过上面提到的游戏网站,因为这些游戏网站也在美国托管,或者其他可疑网站。”
不是第一个,也不是最后一个
这并不是8月份发现的第一个针对Android用户的恶意软件,卡巴斯基今天还发现了另一个木马程序,其形式是隐藏在Android CamScanner应用程序中的一个恶意模块,从谷歌的Play Store下载了超过1亿次。
就在上周,ESET研究人员发现,包括开源软件AhMyth Android RAT的间谍软件功能在内的另一款Android应用程序在短短两周内两次绕过了谷歌Play Store的自动恶意软件保护。