安全播报

Android超级恶意软件“xHelper” 恢复出产设置后仍能自动安装

编辑/作者:安安 2020-04-10 我要评论

4月10日讯,近日据外媒报道,一款Android超级恶意软件xHelper正在快速传播,一旦感染该病毒软件即使受害者删除或强制恢复系统的出厂设置,xHelper也能够在受感染的设备上...

  4月10日讯,近日据外媒报道,一款Android超级恶意软件"xHelper"正在快速传播,一旦感染该病毒软件即使受害者删除或强制恢复系统的出厂设置,"xHelper"也能够在受感染的设备上重新安装。

  据悉,该软件最早是由安全公司Symantec研究团队于2019年10月发现,随后它仅在六个月内就感染了超过45000台Android设备,并且仍在快速传播。当时,安全公司Symantec估计Xhelper恶意软件平均每月至少感染2400台设备,主要感染用户可能来自俄罗斯、印度和美国。

Android超级恶意软件“xHelper”  恢复出产设置后仍能自动安装

  目前,卡巴斯基实验室的安全专家已经提供了有关该恶意软件功能的详细信息以及恶意代码实现的持久性机制,同时研究人员还提供了如何从受感染设备中删除xHelper的措施。据了解,该恶意软件是作为流行的移动设备清洁和速度优化应用程序分发的,卡巴斯基报告称实际上大多数感染发生在俄罗斯(80.56%),印度(3.43%)和阿尔及利亚(2.43%)。

  在入侵者成功安装该恶意软件后,应用程序会将其自身注册为系统的前台服务,并提取加密的有效负载,该有效负载会收集有关受害者设备相关信息并将其发送到入侵者服务器上。在此阶段,入侵者会删除原系统设备并启动一个跟踪器“Trojan-Dropper.AndroidOS.Helper.b”,然后运行该恶意软件。

  卡巴斯基专家还表示,智能手机的固件也会受到 xHelper 的影响,因此在这种情况下,单纯刷新手机系统是没有意义的。同时,该恶意软件安装了后门程序,入侵者能够以超级用户的身份执行命令,因此入侵者对所有应用程序数据具有完全访问权限。

Android超级恶意软件“xHelper”  恢复出产设置后仍能自动安装

  专家指出,xHelper病毒软件还可以修改系统库(libc.so),以防止受感染者重写模式并重新挂载系统分区。因此,专家建议使用原始Android固件用户在修改“ libc.so”后可以在重写的模式下重新启用安装系统分区,并删除xHelper Android恶意软件。同时,研究人员还建议用户可以尝试从原始固件中提取libc.so文件,并用它替换受感染的文件,然后再从系统分区中去删除所有恶意软件。

文章来源:E安全

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。4、对于网友投稿的文章请仔细核对其真实性,如遇要求汇款转账情况,请格外谨慎。

相关文章
  • 突发!地中海航运疑似遭黑客袭击

    突发!地中海航运疑似遭黑客袭击

  • Android超级恶意软件“xHelper” 恢复出产设置后仍

    Android超级恶意软件“xHelper” 恢复出产设置后仍

  • 新型比特币勒索病毒出现!

    新型比特币勒索病毒出现!

  • 网络病毒依然无处不在,浏览网站需注意,不要

    网络病毒依然无处不在,浏览网站需注意,不要