即使恢复出厂设置也无效:xHelper仍令安全专家头疼
自2019年5月被安全厂商Malwarebytes曝光之后,Android恶意程序xHelper就一直是手机厂商重点关注的对象。自那时开始,大多数Android安全应用程序都添加了xHelper检测,理论上意味着大多数设备应该已经受到保护,可以免受这种恶意程序的攻击。但事实上,想要彻底清除xHelper要比我们想象中困难的多,即使恢复出厂设置依然存在。
根据 Malwarebytes 的说法,这些感染的来源是“网络重定向”,它会将用户发送到托管 Android 应用程序的网页。这些网站指导用户如何从 Play 商店外部间接加载非官方的 Android 应用。这些应用程序中隐藏的代码将下载 xHelper 木马。
好消息是该木马目前没有执行破坏性操作,多数时间它会显示侵入式弹出广告和垃圾邮件通知。广告和通知会将用户重定向到 Play 商店,并要求用户安装其他应用程序——通过这种方式,xHelper 从按安装付费的方式中赚钱。
恼人的是 xHelper 服务无法删除,因为该木马每次都会重新安装自身,即使用户对整个设备进行了出厂重置后也是如此。xHelper 如何在恢复出厂设置后得以生存仍然是个谜。不过,Malwarebytes 和赛门铁克均表示 xHelper 不会篡改系统服务和系统应用程序。
xHelper 最早发现于 3 月。到 8 月,它逐渐感染了 32,000 多台设备。而截至去年10月,根据赛门铁克的数据,感染总量已达到 45,000。该恶意软件的感染轨迹不断上升。赛门铁克表示,xHelper 每天平均造成 131 名新受害者,每月约有 2400 名新的受害者。
在最新Malwarebytes报告中,写道:“即使Google Play没有恶意程序,但是Google Play中的某些事件触发了重新感染,可能是有某些文件存储其中。此外这些东西可能将Google Play作为伪装,从而安装其他来源的恶意程序。 ”
安全供应商详细说明了客户的设备感染了xHelper的情况。在仔细检查了受感染的Android手机上存储的文件之后,我们发现木马程序已嵌入到位于com.mufc.umbtts目录中的APK中。更糟糕的是,研究人员仍然不知道该漏洞如何使用Google Play触发感染。
Malwarebytes研究人员解释说:“这是令人困惑的部分:设备上没有显示Trojan.Dropper.xHelper.VRW的安装。我们相信,它会在几秒钟内再次安装,运行和卸载,以逃避检测-所有这些都是由Google Play触发的。 ”
要清除感染,用户首先需要禁用Google Play商店,然后才使用防病毒软件运行设备扫描。否则,尽管该病毒显然已被删除,但该恶意软件仍将继续传播。