作者peterlin495 (專業果粉O'_'O)
看板MobileComm
標題[新聞] 木馬程式xHelper感染Android手機後幾乎無
時間Wed Oct 30 15:04:16 2019
木馬程式xHelper感染Android手機後幾乎無法移除
名為xHelper的惡意程式不論遭手動移除、或裝置以硬體還原到出廠設定後不久,都有辦
法再自我安裝,目前至少有4.5萬台安卓裝置感染這隻木馬,研判是藏在不安全的第三方
程式下載網站
文/林妍溱 | 2019-10-30發表
安全研究人員發現一隻纏人的Android木馬程式,一旦感染,不但安裝時難以發現,即使
發現想刪掉或還原到出廠設定後還會自動重新安裝。6個月內已有4.5萬用戶遭到感染。
這隻名為xHelper的惡意程式先是在8月間,首次被安全業者Malwarebyte發現及分析,最
近再度肆虐,眾多使用者上論壇反映Android裝置遭到感染,會在螢幕顯示跳出式廣告,
但不論移除或以硬體還原到出廠設定後不久它都會再自我安裝,幾乎無法根除。
賽門鐵克評估,過去幾個月至少有4.5萬台裝置遭到感染,平均一個月感染2,400台。主要
受害者分佈在印度、美國及俄羅斯,而且似乎特別偏好某些款式的手機。
xHelper有幾個特點讓它難以被移除。首先,xHelper具備隱密安裝能力,且有半隱密及全
隱密模式。它安裝時不會建立捷徑或是圖示,使用者只可在手機系統通知或「應用程式資
訊」頁面看見xHelper的蹤跡。
其次,xHelper一旦在手機上啟動即會註冊為前景服務(foreground service),以免在
記憶體不足時被砍掉,一旦停止服務也會再啟動。最厲害的是,xHelper使用了什麼手法
可以在刪除或系統重置後還能重新自我安裝,研究人員迄今還未完全找出原因。賽門鐵克
僅發現,xHelper不像是系統預安裝程式,而且它無法手動啟動,而是由外部事件,像是
手機連網、拔除電源、手機重新開機、安裝或移除某應用程式來開啟,因此研究人員判斷
,可能是另一個惡意程式系統程式不斷重新安裝它。
至於它怎麼跑到Android手機上,研究人員指出,xHelper並未出現在Google Play Store
上,而是藏在使用者從不知名的第三方網站下載的程式而來。
一旦進入Android手機,xHelper最明顯的行為是顯示跳出式廣告,導引使用者到Google
Play Store上下載app,藉此賺取導引佣金。研究人員認為是背後組織的營收模式。雖然
它並沒有修改系統服務檔案,但是賽門鐵克人員仍發現它會執行木馬程式功能,和外部
C&C伺服器建立加密SSL連線以等待指令,可能下載dropper、clicker或rootkits等以便日
後行動。
研究人員提醒使用者,應避免從不安全的網站下載應用程式,並且在安裝前應留意應用程
式要求的存取權限。此外也應確保防毒軟體更新到最新版本。
https://www.ithome.com.tw/news/133906 心得:
也太可怕了吧,感覺每次有惡意的軟體都是安卓中標,希望能學學ios的高安全性,
不然現在手機都會綁一堆個資,感覺很容易被洩漏....
話說回來這個預防感覺有點難呀,除非都只用google play商店的軟體,
但是安卓為的就是自由度,感覺以後再第三方下載得更加注意才行了...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.82.180.152 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1572419059.A.E18.html
推 Lumia625 : 你乖乖在play store上載app就沒這麼多毛了== 10/30 15:06
推 aiweisen : 這應該就是直接吧app變成系統檔 所以還原原廠後 他 10/30 15:07
→ aiweisen : 又存在 10/30 15:07
推 SourireMask : 你跟ios一樣不裝第三方不就沒事了?所以ios安全性高 10/30 15:14
→ SourireMask : 在哪? 不能裝第三方軟體嗎? 10/30 15:14
推 a3619453 : App store、Google Play上的都叫第三方軟體,文中 10/30 15:22
→ a3619453 : 指的應該是第三方(非官方)的商店市集 10/30 15:22
推 jaannddyy : 最安全的系統 安卓,毫無疑問 10/30 15:22
推 Lumia625 : 好了啦樓上 10/30 15:27
推 nok1126 : 雙清應該救回來 10/30 15:28
噓 chinandxian : 拙拙仔崩潰,一直以來拙拙安全性就是個笑話,你是 10/30 15:28
→ chinandxian : 忘記了?還是害怕想起來? 10/30 15:28
推 messi5566 : 我今天又同情卓粉了 10/30 15:30
噓 chinandxian : 強調自由的拙拙開始嗆ios也去下載第三方軟體啊,跟 10/30 15:33
→ chinandxian : 某候選人嗆現任也請假,邏輯一樣詭異 10/30 15:33
→ luis1056379 : 樓上很急 10/30 15:36
推 electronicyi: 樓上扯政治 掰掰 10/30 15:36
推 RG5678 : ok 我要出手了 10/30 15:42
→ FeRin : 不要自殺 10/30 15:53
推 tom282f3 : 愛噴垃圾話 下場就是不小心越線就掰 10/30 15:55
推 windointe : 灼灼最引以為傲的apk出現了木馬 10/30 15:57
推 higger : 如果真如二樓所言,那研究人員程度也太差了點 10/30 16:00
推 telescopy : 對“特別偏好某些款式的手機”這句話很有興趣!但我 10/30 16:04
→ telescopy : 想應該不會輕易透漏否則手機廠商會跳腳吧 10/30 16:05
推 zssj : 嗯嗯 的確"某種款式"看起來很亮 10/30 16:20
推 eason2000 : 看來又會是大豐收? 10/30 16:28
→ luckystrikes: 煉蠱神機 10/30 16:33
推 doom3 : 某花都能第三方裝GMS了 裝個系統木馬 沒什麼 10/30 16:42
→ kelon : 手機要root才有辦法這麼猛吧 10/30 16:44
→ baibaizo : 木馬快點去藏在youtube vanced上面 想看全球哀嚎 10/30 16:44
推 cjo4zo2k7al : 有人很急 10/30 17:01
推 benedict76 : 不知道那個牌子的手機用到奇怪的廣告商吧!還原原廠 10/30 17:09
→ benedict76 : 東西還會跑回來就是有某個系統程式把他載回來的。而 10/30 17:09
→ benedict76 : 且安卓沒刪不了的app,說刪不到不知道是什麼研究員 10/30 17:09
→ benedict76 : 就是了 10/30 17:09
噓 munemoshune : 這串真的很多來洗優越感的。怎麼不貼個存款更快? 10/30 17:29
噓 enderboy7652: 又來一篇,有root才有可能,然後都會root了別騙我不 10/30 17:46
→ enderboy7652: 會四清 10/30 17:46
推 eric112 : 安卓不意外 10/30 18:18
→ a0193143 : 理論上6.0開始不解鎖就沒辦法拿到權限啦 10/30 18:24
推 horstyle0411: 安卓不意外 太自由就比較容易遇到危險 關好就沒事了 10/30 18:28
→ horstyle0411: Windows自由裝東西太危險了 買Mac不能裝就很安全啊 10/30 18:36
推 Aukillexz : 這麼愛說封閉系統安全不會去用只有電話功能的手機 10/30 18:44
→ Aukillexz : 保證最安全 10/30 18:44
推 anguslf2 : 安卓日常 讚 10/30 19:06
→ aldam : 這跟電腦的綁架軟體一樣,目前無解。 10/30 21:41
推 icexyz : 因為自由所以危險,因為封閉所以安全,怎這麼像牆 10/30 22:44
→ icexyz : 國的言論 10/30 22:44
→ jasonkey123 : 恢復出廠值還存在代表機子有root阿... 10/30 23:09
→ jasonkey123 : 怎麼這時候都在裝傻了?? 10/30 23:09
→ avmm9898 : 雙清也沒用? 10/30 23:09
→ jasonkey123 : 完整線刷或用recovery卡刷不就好了... 10/30 23:10
→ jasonkey123 : 是第一天用android?? 資安專家??小學生吧... 10/30 23:10
→ jasonkey123 : 都會把gcam裝到一般安桌機上了,這簡單的問題解不了? 10/30 23:12
→ notime : 葉佩文 10/31 01:00
推 chenjo : 安卓關好照樣有事前天Google Play被ESET告知7x隻毒 10/31 08:35
推 ZnOnZ : 同情安卓 10/31 16:02