木馬程式xHelper感染Android手機後幾乎無法移除 名為xHelper的惡意程式不論遭手動移除、或裝置以硬體還原到出廠設定後不久，都有辦 法再自我安裝，目前至少有4.5萬台安卓裝置感染這隻木馬，研判是藏在不安全的第三方 程式下載網站 文/林妍溱 | 2019-10-30發表 安全研究人員發現一隻纏人的Android木馬程式，一旦感染，不但安裝時難以發現，即使 發現想刪掉或還原到出廠設定後還會自動重新安裝。6個月內已有4.5萬用戶遭到感染。 這隻名為xHelper的惡意程式先是在8月間，首次被安全業者Malwarebyte發現及分析，最 近再度肆虐，眾多使用者上論壇反映Android裝置遭到感染，會在螢幕顯示跳出式廣告， 但不論移除或以硬體還原到出廠設定後不久它都會再自我安裝，幾乎無法根除。 賽門鐵克評估，過去幾個月至少有4.5萬台裝置遭到感染，平均一個月感染2,400台。主要 受害者分佈在印度、美國及俄羅斯，而且似乎特別偏好某些款式的手機。 xHelper有幾個特點讓它難以被移除。首先，xHelper具備隱密安裝能力，且有半隱密及全 隱密模式。它安裝時不會建立捷徑或是圖示，使用者只可在手機系統通知或「應用程式資 訊」頁面看見xHelper的蹤跡。 其次，xHelper一旦在手機上啟動即會註冊為前景服務（foreground service），以免在 記憶體不足時被砍掉，一旦停止服務也會再啟動。最厲害的是，xHelper使用了什麼手法 可以在刪除或系統重置後還能重新自我安裝，研究人員迄今還未完全找出原因。賽門鐵克 僅發現，xHelper不像是系統預安裝程式，而且它無法手動啟動，而是由外部事件，像是 手機連網、拔除電源、手機重新開機、安裝或移除某應用程式來開啟，因此研究人員判斷 ，可能是另一個惡意程式系統程式不斷重新安裝它。 至於它怎麼跑到Android手機上，研究人員指出，xHelper並未出現在Google Play Store 上，而是藏在使用者從不知名的第三方網站下載的程式而來。 一旦進入Android手機，xHelper最明顯的行為是顯示跳出式廣告，導引使用者到Google Play Store上下載app，藉此賺取導引佣金。研究人員認為是背後組織的營收模式。雖然 它並沒有修改系統服務檔案，但是賽門鐵克人員仍發現它會執行木馬程式功能，和外部 C&C伺服器建立加密SSL連線以等待指令，可能下載dropper、clicker或rootkits等以便日 後行動。 研究人員提醒使用者，應避免從不安全的網站下載應用程式，並且在安裝前應留意應用程 式要求的存取權限。此外也應確保防毒軟體更新到最新版本。 https://www.ithome.com.tw/news/133906 心得: 也太可怕了吧,感覺每次有惡意的軟體都是安卓中標,希望能學學ios的高安全性, 不然現在手機都會綁一堆個資,感覺很容易被洩漏.... 話說回來這個預防感覺有點難呀,除非都只用google play商店的軟體, 但是安卓為的就是自由度,感覺以後再第三方下載得更加注意才行了... -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.82.180.152 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1572419059.A.E18.html