安卓系統發現高危病毒禁止安裝?xHelper，一種于2019年3月被發現的木馬病毒，主要被用作其他惡意軟件（包括但不限于銀行木馬、勒索軟件等）的傳播工具，據說曾在不到5個月的時間裡就成功感染了3.2萬部智能手機和平闆電腦，下面我們就來說一說關于安卓系統發現高危病毒禁止安裝?我們一起去了解并探讨一下這個問題吧!

安卓系統發現高危病毒禁止安裝

xHelper，一種于2019年3月被發現的木馬病毒，主要被用作其他惡意軟件（包括但不限于銀行木馬、勒索軟件等）的傳播工具，據說曾在不到5個月的時間裡就成功感染了3.2萬部智能手機和平闆電腦。

卡巴斯基實驗室于近日發文稱，即使時間已經過去了一年，但xHelper如今的活躍度完全沒有減弱。另外，一旦這種木馬病毒進入你的安卓設備，由它下載并安裝的惡意軟件就很難被清除，即使是恢複出廠設置。

根據卡巴斯基實驗室的說法，xHelper通常被僞裝成清理和加速APP，但實際上完全不具備其描述中的功能。

一旦安裝完成，你将無法在主屏幕或程序菜單中看到它的圖标。當然，如果你确實想和它見上一面，那麼你可以移步到系統設置中的已安裝應用程序列表。

圖1.已安裝應用程序列表

xHelper的有效載荷經過加密處理，位于“/assets/firehelper.jar”，其主要任務是将一些有關受感染設備的信息（android_id、制造商、型号、固件版本等）上傳到hxxps://lp.cooktracking[.]com/v1/ls/get并下載一個惡意模塊——Trojan-Dropper.AndroidOS.Agent.of。

圖2.解密URL以發送設備信息

解密和啟動有效載荷涉及到使用附帶的本地庫，這種方法使得惡意軟件分析變得尤為困難。

釋放程序Trojan-Dropper.AndroidOS.Helper.b 将首先被解密并啟動，然後運行的将會是Downloader.AndroidOS.Leech.p，以進一步感染設備。

分析顯示，Leech.p的任務是下載Trojan.AndroidOS.Triada.dd 以及一系列将用于獲取root權限的漏洞利用代碼。

圖3.解碼Leech.p的C＆C地址

圖4.下載Triada木馬

在獲取到root權限後，xHelper可以直接在系統分區中安裝惡意文件。

其中一些文件會安裝到“/system/bin”文件夾下：

patches_mu8v_oemlogo — Trojan.AndroidOS.Triada.dd

debuggerd_hulu —AndroidOS.Triada.dy

kcol_ysy — HEUR:Trojan.AndroidOS.Triada.dx

/.luser/bkdiag_vm8u_date — HEUR:Trojan.AndroidOS.Agent.rt

也有一些文件會被安裝到“system/xbin”文件夾下：

diag_vm8u_date

patches_mu8v_oemlogo

由于用于從xbin 文件夾中調用的文件的調用被添加在install-recovery.sh文件中，這允許惡意軟件在系統重新啟動時自動運行。此外，由于目标文件夾中的所有文件都被分配了不可修改的屬性，這使得删除惡意軟件非常困難，因為安卓系統甚至不允許超級用戶删除具有該屬性的文件。

不僅如此，xHelper的開發人員還使用了另外一種惡意軟件保護技術——修改系統庫/system/lib/libc.so。這個庫幾乎包含安卓設備上所有可執行文件使用的通用代碼，而通過替換libc中mount函數（用于裝在文件系統）的代碼，便可以防止受害者以寫模式挂載到/system 分區進而删除惡意文件。

我們該如何應對？

從上面的分析我們不難看出，僅僅是清除xHelper 并不能徹底淨化被感染的系統。因為，安裝在系統分區中的安裝程序（com.diag.patches.vm8u）會在第一時間重新安裝xHelper和其他惡意軟件。

圖5.無需用戶交互的安裝程序

幸運的是，如果你在設備上設置了恢複模式，那麼則可以嘗試使用從原始固件中提取的libc.so文件替換受感染的文件，然後再從系統分區中删除所有惡意軟件。

當然，直接重新刷機會更為簡單可靠。但我們提醒，在刷機時一定要使用從可靠途徑獲得的固件，因為一些固件也存在預裝惡意軟件的情況。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部