示意圖,Photo by Starkus01 on shorturl.at/fpPS0 (CC BY-SA 4.0)

安全研究人員發現一隻纏人的Android木馬程式,一旦感染,不但安裝時難以發現,即使發現想刪掉或還原到出廠設定後還會自動重新安裝。6個月內已有4.5萬用戶遭到感染。

這隻名為xHelper的惡意程式先是在8月間,首次被安全業者Malwarebyte發現及分析,最近再度肆虐,眾多使用者上論壇反映Android裝置遭到感染,會在螢幕顯示跳出式廣告,但不論移除或以硬體還原到出廠設定後不久它都會再自我安裝,幾乎無法根除。

賽門鐵克評估,過去幾個月至少有4.5萬台裝置遭到感染,平均一個月感染2,400台。主要受害者分佈在印度、美國及俄羅斯,而且似乎特別偏好某些款式的手機。

xHelper有幾個特點讓它難以被移除。首先,xHelper具備隱密安裝能力,且有半隱密及全隱密模式。它安裝時不會建立捷徑或是圖示,使用者只可在手機系統通知或「應用程式資訊」頁面看見xHelper的蹤跡。

其次,xHelper一旦在手機上啟動即會註冊為前景服務(foreground service),以免在記憶體不足時被砍掉,一旦停止服務也會再啟動。最厲害的是,xHelper使用了什麼手法可以在刪除或系統重置後還能重新自我安裝,研究人員迄今還未完全找出原因。賽門鐵克僅發現,xHelper不像是系統預安裝程式,而且它無法手動啟動,而是由外部事件,像是手機連網、拔除電源、手機重新開機、安裝或移除某應用程式來開啟,因此研究人員判斷,可能是另一個惡意程式系統程式不斷重新安裝它。

至於它怎麼跑到Android手機上,研究人員指出,xHelper並未出現在Google Play Store上,而是藏在使用者從不知名的第三方網站下載的程式而來。

一旦進入Android手機,xHelper最明顯的行為是顯示跳出式廣告,導引使用者到Google Play Store上下載app,藉此賺取導引佣金。研究人員認為是背後組織的營收模式。雖然它並沒有修改系統服務檔案,但是賽門鐵克人員仍發現它會執行木馬程式功能,和外部C&C伺服器建立加密SSL連線以等待指令,可能下載dropper、clicker或rootkits等以便日後行動。

研究人員提醒使用者,應避免從不安全的網站下載應用程式,並且在安裝前應留意應用程式要求的存取權限。此外也應確保防毒軟體更新到最新版本。


Advertisement

更多 iThome相關內容