据赛门铁克(Symantec)网站报道,一款名叫xHelper的木马从今年3月开始到处释虐,至今为止至少赛门铁克检测到有4.5万台安卓手机已经遭到xHelper的感染!平均每天有131台手机被感染,每月2400万台新手机被感染!
各大网站论坛上都有安卓手机用户在投诉关于xHelper的感染,到至今为止都没有一个有效的解决方法。不管使用任何防毒软件、直接删除,甚至是恢复到出厂设置,都无法将xHelper彻底清除,因为xHelper会在之后悄悄的自我安装。
xHelper擅长隐藏自己,在“半隐身”状态下,它在系统画面上不会出现任何图标或者快捷键,能让用户留意到它的是它透过通知栏不断弹出通知来诱导用户点击广告。而在“全隐身”状态下,xHelper几乎隐藏了所有痕迹,而唯一证据是在应用程序信息部分中简单的列出了一个xHelper。
xHelper的运行也无法被阻止,因为它不是仅仅透过用户点击或系统开启时启动,它还有各种触发条件,包括启动设备、连接/断开电源时、设备重启、安装/卸装应用等等,都会触发xHelper自动运行或者安装。
一旦xHelper启动,它会将自己注册为前台服务(foreground service)来降低了内存不足时被停止运行的几率。并且为了确保始终运行,xHelper还有个机制确保它在停止运行时自动重新启动其服务。xHelper一旦在受害者的手机上立足,便会开始解密其存储在程序包中的恶意有效负载来执行其核心恶意功能,并且使用SSL证书固定连接到攻击者的命令和控制(C&C)服务器。
据Malwarebytes,xHelper有一个明显的特征就是盗用与其他合法应用相同的软件包名称,尽管这在木马中并不罕见,但是xHelper所选择到用的软件包却不常见。xHelper使用以“com.muf”开头的 软件包名称,这软件包名称存在于Google Play的许多益智游戏当中,包括一款名为New2048HD的游戏,它的软件包名称为com.mufc.fireuvw。
在今年8月的时候,xHelper被Malwarebytes加入十大恶意软件列表。目前xHelper没有执行任何破坏性操作,它仅仅是出现侵入式弹出广告和垃圾邮件通知来赚取导引佣金。但由于xHelper与外部C&C服务器无可拦截的连接 ,可能会下载勒索软件、银行木马、僵尸程序或密码窃取程序等,来更进一步威胁用户手机。
据赛门铁克表示,xHelper可能是经由第三方APP商店下载的应用感染,因此建议用户不要从未知来源下载安装应用。目前为止唯一宣称能成功去除xHelper只有Malwarebytes Security。