聚焦源代碼安全，網羅國內外最新資訊！編譯：奇安信代碼衛士團隊賽門鐵克表示，近半年來出現的一款安卓惡意軟件 xHelper迄今為止已經感染了4.5萬臺安卓設備。由于它具有自卸載機制，因此幾乎不可能被刪除。賽門鐵克表示xHelper 平均每天感染131個新的受害者，每個月大概新增2400名受害者。多數感染出現在印度、美國和俄羅斯。

通過第三方應用安裝

Malwarebytes 指出，這些感染的來源是“web 重定向”即將用戶發送到托管安卓應用的 web 頁面。這些站點指示用戶如何從Play Store 以外的地方側加載非官方安卓應用，而這些應用中隱藏的代碼下載 xHelper 木馬。不過好在該木馬并不會執行破壞性操作。Malwarebyter 和賽門鐵克表示，多數時候該木馬只是顯示入侵性彈出消息以及通知垃圾郵件，之后將用戶重定向至 Play Store 誘騙用戶安裝其它應用，進而通過按下載次數計費的方式獲得傭金。但xHelper 最有意思的地方在于，它通過初始 app 獲得對安卓設備的訪問權限后會將自己安裝為單獨的服務。卸載原始 app 并無法刪除 xHelper，后者會繼續留在用戶設備上繼續顯示彈出消息和通知垃圾消息。

無法刪除

另外，即使用戶在安卓操作系統的 Apps 部分看到了 xHelper 服務，但無法刪除，因為每次它都會自我卸載，即使用戶進行恢復原廠設置也不例外。xHelper 為何在恢復原廠設置之后仍然能起作用？答案仍然是個謎。然而，研究人員指出，xHelper 并不會篡改系統服務系統應用。另外，賽門鐵克公司指出“不太可能存在xHelper 預裝在設備上的情況”。在某些情況下，用戶表示即使他們刪除了 xHelper 服務并禁用“從未知來源安裝應用”的選項，設置仍然會改回，而且在清理后幾分鐘內設備就會再次遭感染。某些用戶據稱已經通過一些付費的移動殺毒解決方案解決了這一問題，但一些用戶表示仍然沒解決。賽門鐵克發布博客文章表示，該木馬仍然還在不斷發展過程中，它會定期推出新版本，這就解釋了某些殺毒解決方案為何只能刪除某些實例中的 xHelper。殺毒解決方案和 xHelper 之間似乎存在你追我趕的架勢。值得注意的是，賽門鐵克和 Malwarebytes 都發出了針對 xHelper 功能的警告信息。雖然該木馬目前僅參與垃圾信息和廣告收益活動，但它也具備其它一些更加危險的功能。兩家公司都指出，xHelper 能夠下載并安裝其它應用，而這是惡意人員能夠在任何時候用于部署第二階段惡意軟件 payload 的功能，如部署勒索軟件、銀行木馬、DDoS僵尸或密碼竊取器等。推薦閱讀

趨勢科技反威脅工具集被曝 RCE 漏洞：如文件名是 cmd.exe 或 regedit.exe，則運行惡意軟件

Russian APT Map：這張開源地圖顯示了2000多款俄羅斯惡意軟件之間的關聯

原文鏈接https://www.zdnet.com/article/new-unremovable-xhelper-malware-has-infected-45000-android-devices/題圖：Pixabay License本文由奇安信代碼衛士編譯，不代表奇安信觀點，轉載請注明“轉自奇安信代碼衛士 www.codesafe.cn”

奇安信代碼衛士 (codesafe)

國內首個專注于軟件開發安全的產品線。

總結

以上是生活随笔為你收集整理的赛门铁克卸载工具_神奇的安卓恶意软件 xHelper：自卸载且无法删除的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。