注意!刪不掉再進化的新型App惡意程式,你中獎了嗎?

過去六個月有個新的 Android 惡意程式發現,由於它穩定地增加受害者,具有某種特殊的自我安裝的機制,所以在多個防毒軟體公司受到關注,因為它幾乎無法被刪除。

名為 xHelper 的惡意程式是個木馬程式的投放工具,最初是在今年3月被發現。依據 Malwarebytes 它迅速攀升到最常發現惡意程式的前10名。這個惡意程式的受害者數目有明顯的上升趨勢。

依據 Malwarebytes 描述,感染來源是利用網站轉介,將受害者引導到有 Android App 的網頁,這些網站告訴使用者如何安裝非經Google Play 認證的應用程式,躲藏在這些應用程式中的木馬模組,會自動下載 xHelper 木馬程式。

圖/Pixabay
圖/Pixabay
分享

目前這個惡意程式的行為,還不具直接破壞性,依 Malwarebytes 與 Symantec 說,這個木馬程式大部分時間只是出現侵入式的廣告及通知。這個廣告與通知將使用者導向 Play Store,使用者被要求安裝其它應用程式,這是種 xHelper 賺取以安裝數量計算佣金的方法。

這個木馬程式有兩種不同的表現形態,可以分為隱藏式與半隱藏式。半隱藏式在感染手機後,會先在通知建立 xHelper 的圖標,但不會產生應用程式或捷徑的圖標,幾分鐘後,開始在通知可以看到:[Game Center] Free Game。受害者若點選任何這些通知,它會用瀏覽器引導受害者到一個免費玩遊戲的網站,這些網站看似無害,但攻擊者藉此收取點選佣金。

半隱藏式的 xHelper 癥候 圖: Malwarebytes
半隱藏式的 xHelper 癥候 圖: Malwarebytes
分享

隱藏式的 xHelper 也避免建立應用程式或捷徑的圖標,它同時會隱匿所有存在的蹤跡。唯一存在的痕跡就是在應用程式區中會出現 xHelper。

隱藏式的 xHelper 只出現在應用程式區 圖: Malwarebytes
隱藏式的 xHelper 只出現在應用程式區 圖: Malwarebytes
分享

xHelper 與其他 Android 惡意程式最不同的是,只要木馬程式經由乘載的應用程式成功下載到 Android 手機上,它會自我安裝成獨立,而且自我存在的服務,解除安裝原始的應用程式並無法移除 xHelper,這個木馬程式仍會繼續存在受害者的手機上,繼續顯示廣告與通知。

過去幾個月,許多受害者抱怨 xHelper 無法解除,就算受害者在 Android 作業系統中的應用程式名單看到 xHelper 服務,解除安裝也無效,這個木馬程式會自動重新自我安裝。即使受害者將手機回復到出廠的初始設定也無法解決。xHelper 如何成功避過這些安全操作的底線目前仍不清楚。

Symantec 的網站今天說這個木馬程式仍不斷自我演化,它的開發者每隔一段時間就會釋出新版程式,這解釋了為什麼一些防毒軟體曾經能解除 xHelper,但若是新版本卻會失敗。何者為勝,成為 xHelper 開發者與防毒軟體公司的拉鋸戰。

即便目前 xHelper 還沒有破壞性的傷害,但究其木馬程式投放工具的本質,它當然具有非常高的潛在危險性,攻擊者隨時可以利用它植入程式到受害者的手機,可以在任何時刻安裝下一階段攻擊武器,例如勒索程式、竊取銀行資訊、密碼等等。且一旦被感染,可能短時間內無法讓手機回復到安全的狀態。

由於這個惡意程式主要靠網站轉介來散佈,如果你的瀏覽器引導你到其他網站,你點選任何東西前要非常小心,大部分的例子只要點選 Android 返回前頁就能保護你的安全。程式技術與思想的發展與演進,已經開始使得一些惡意程式難以簡單地補救。以手機的普遍以及人們對手機的依賴日深,多注意自己手機的安全,就是注意自己的安全。

延伸閱讀
回應