安卓系统怎么安装软件_安装在系统分区的安卓木马xHelper

xHelper木马病毒于2019年3月被发现，一般被用来当作其他恶意软件(银行木马、勒索软件等)的传播工具。据相关报道，其在不到5个月的时间里成功的感染了3.2万部智能设备。 世界顶尖的反病毒软件研究机构卡巴斯基实验室，于不久前发文：虽然时间一过去一年多，但是xHelper木马病毒依旧相当活跃。而且，一旦你的安卓设备感染这种木马病毒，即使你删除相关文件、或恢复默认出厂设置，经由它下载并安装的相关恶意软件也很难被彻底清除。

xHelper木马病毒的工作原理

卡巴斯基实验室表示，xHelper通常伪装成清理和加速APP，而实际上完全不具备相关功能。安装完成后，你也无法在主屏幕或者程序菜单中看到它的图标，只有系统设置中的已安装应用程序列表中才能看到。

(已安装应用程序列表)

xHelper的有效载荷经过加密处理，位于“/assets/firehelper.jar”，它的主要任务是将一些有关受感染设备的信息(制造商、型号、android_id、固件版本等)上传到：hxxps://lp.cooktracking[.]com/v1/ls/get并下载一个恶意模块：Trojan-Dropper.AndroidOS.Agent.of。

(解密URL来发送相关设备信息)

解密和启动有效载荷涉及到使用附带的本地库，这种方法使得对该恶意软件的分析变得困难重重。 释放程序 Trojan-Dropper.AndroidOS.Helper.b 将首先被解密并启动，然然后运行 Downloader.AndroidOS.Leech.p， 来进一步感染设备。 分析显示，Leech.p的任务是下载Trojan.AndroidOS.Triada.dd 以及一系列将用于获取root权限的漏洞利用代码。

(解码Leech.p的C＆C地址)

(下载Triada木马)

获取root权限之后，xHelper木马可以直接在系统分区中安装相关恶意文件。而其中一些文件将安装到“/system/bin”文件夹下：

• debuggerd_hulu—AndroidOS.Triada.dy
• kcol_ysy— HEUR:Trojan.AndroidOS.Triada.dx
• patches_mu8v_oemlogo— Trojan.AndroidOS.Triada.dd
• /.luser/bkdiag_vm8u_date— HEUR:Trojan.AndroidOS.Agent.rt 

还有一些文件会被安装到“system/xbin”文件夹下：

• patches_mu8v_oemlogo
• diag_vm8u_date

不过，由于用于从xbin 文件夹中调用的文件的调用被添加在install-recovery.sh文件中，这将允许恶意软件在系统重新启动时自动运行。而且，由于目标文件夹中的所有文件都被设置了不可修改的属性，这使得删除相关恶意软件变得异常困难，因为安卓系统不允许超级用户删除具有该属性的文件。 除此之外，xHelper开发人员还使用了另一种恶意软件的保护技术：修改系统库/system/lib/libc.so。这个库几乎包含安卓设备上所有可执行文件使用的通用代码，而通过替换libc中mount函数(用于装在文件系统)的代码，就可以防止受害者以写模式挂载到/system 分区来删除恶意文件。

如何应对？

以上分析得出，如果只是清除xHelper 并不能彻底净化被感染的系统。因为，安装在系统分区中的安装程序(com.diag.patches.vm8u)会在清除的第一时间重新安装xHelper和其他恶意软件。

(无需用户交互的安装程序)

不过，如果你在设备上设置了恢复模式，这样就可以尝试从原始固件中提取libc.so文件替换被感染的文件，进而再从系统分区中删除所有恶意软件。 也许你会觉得直接刷机更为简单可靠，不过，在刷机时一定要注意使用从可靠途径获得的固件，因为很多固件也存在预装恶意软件的可能。

文章转自黑客视界：https://mp.weixin.qq.com/s/cxysWoBcsu5rIW6rGL52BA