xHelper木马病毒于2019年3月被发现,一般被用来当作其他恶意软件(银行木马、勒索软件等)的传播工具。据相关报道,其在不到5个月的时间里成功的感染了3.2万部智能设备。
世界顶尖的反病毒软件研究机构卡巴斯基实验室,于不久前发文:虽然时间一过去一年多,但是xHelper木马病毒依旧相当活跃。而且,一旦你的安卓设备感染这种木马病毒,即使你删除相关文件、或恢复默认出厂设置,经由它下载并安装的相关恶意软件也很难被彻底清除。
xHelper木马病毒的工作原理
卡巴斯基实验室表示,xHelper通常伪装成清理和加速APP,而实际上完全不具备相关功能。安装完成后,你也无法在主屏幕或者程序菜单中看到它的图标,只有系统设置中的已安装应用程序列表中才能看到。(已安装应用程序列表)
xHelper的有效载荷经过加密处理,位于“/assets/firehelper.jar”,它的主要任务是将一些有关受感染设备的信息(制造商、型号、android_id、固件版本等)上传到:hxxps://lp.cooktracking[.]com/v1/ls/get并下载一个恶意模块:Trojan-Dropper.AndroidOS.Agent.of。(解密URL来发送相关设备信息)
解密和启动有效载荷涉及到使用附带的本地库,这种方法使得对该恶意软件的分析变得困难重重。 释放程序 Trojan-Dropper.AndroidOS.Helper.b 将首先被解密并启动,然然后运行 Downloader.AndroidOS.Leech.p, 来进一步感染设备。 分析显示,Leech.p的任务是下载Trojan.AndroidOS.Triada.dd 以及一系列将用于获取root权限的漏洞利用代码。(解码Leech.p的C&C地址)
(下载Triada木马)
获取root权限之后,xHelper木马可以直接在系统分区中安装相关恶意文件。而其中一些文件将安装到“/system/bin”文件夹下:- debuggerd_hulu—AndroidOS.Triada.dy
- kcol_ysy— HEUR:Trojan.AndroidOS.Triada.dx
- patches_mu8v_oemlogo— Trojan.AndroidOS.Triada.dd
- /.luser/bkdiag_vm8u_date— HEUR:Trojan.AndroidOS.Agent.rt
- patches_mu8v_oemlogo
- diag_vm8u_date
如何应对?
以上分析得出,如果只是清除xHelper 并不能彻底净化被感染的系统。因为,安装在系统分区中的安装程序(com.diag.patches.vm8u)会在清除的第一时间重新安装xHelper和其他恶意软件。
(无需用户交互的安装程序)
不过,如果你在设备上设置了恢复模式,这样就可以尝试从原始固件中提取libc.so文件替换被感染的文件,进而再从系统分区中删除所有恶意软件。 也许你会觉得直接刷机更为简单可靠,不过,在刷机时一定要注意使用从可靠途径获得的固件,因为很多固件也存在预装恶意软件的可能。文章转自黑客视界:https://mp.weixin.qq.com/s/cxysWoBcsu5rIW6rGL52BA