即使恢复出厂设置也无效:xhelper仍令安全专家头疼-k8凯发游戏

即使恢复出厂设置也无效:xhelper仍令安全专家头疼
作者:cnbeta.com 发布时间:2020-02-14

自2019年5月被安全厂商malwarebytes曝光之后,android恶意程序xhelper就一直是手机厂商重点关注的对象。自那时开始,大多数android安全应用程序都添加了xhelper检测,理论上意味着大多数设备应该已经受到保护,可以免受这种恶意程序的攻击。但事实上,想要彻底清除xhelper要比我们想象中困难的多,即使恢复出厂设置依然存在。

根据 malwarebytes 的说法,这些感染的来源是“网络重定向”,它会将用户发送到托管 android 应用程序的网页。这些网站指导用户如何从 play 商店外部间接加载非官方的 android 应用。这些应用程序中隐藏的代码将下载 xhelper 木马。

好消息是该木马目前没有执行破坏性操作,多数时间它会显示侵入式弹出广告和垃圾邮件通知。广告和通知会将用户重定向到 play 商店,并要求用户安装其他应用程序——通过这种方式,xhelper 从按安装付费的方式中赚钱。

恼人的是 xhelper 服务无法删除,因为该木马每次都会重新安装自身,即使用户对整个设备进行了出厂重置后也是如此。xhelper 如何在恢复出厂设置后得以生存仍然是个谜。不过,malwarebytes 和赛门铁克均表示 xhelper 不会篡改系统服务和系统应用程序。

xhelper 最早发现于 3 月。到 8 月,它逐渐感染了 32,000 多台设备。而截至去年10月,根据赛门铁克的数据,感染总量已达到 45,000。该恶意软件的感染轨迹不断上升。赛门铁克表示,xhelper 每天平均造成 131 名新受害者,每月约有 2400 名新的受害者。

在最新malwarebytes报告中,写道:“即使google play没有恶意程序,但是google play中的某些事件触发了重新感染,可能是有某些文件存储其中。此外这些东西可能将google play作为伪装,从而安装其他来源的恶意程序。 ”

安全供应商详细说明了客户的设备感染了xhelper的情况。在仔细检查了受感染的android手机上存储的文件之后,我们发现木马程序已嵌入到位于com.mufc.umbtts目录中的apk中。更糟糕的是,研究人员仍然不知道该漏洞如何使用google play触发感染。

malwarebytes研究人员解释说:“这是令人困惑的部分:设备上没有显示trojan.dropper.xhelper.vrw的安装。我们相信,它会在几秒钟内再次安装,运行和卸载,以逃避检测-所有这些都是由google play触发的。 ”

要清除感染,用户首先需要禁用google play商店,然后才使用防病毒软件运行设备扫描。否则,尽管该病毒显然已被删除,但该恶意软件仍将继续传播。


网站地图