即使恢复出厂设置也无效:xHelper 真的删不掉?

xHelper 重出江湖,你还在因它的自动重新安装机制头疼吗?

xHelper 最早是由安全公司赛门铁克(Symantec)在 2019 年 10 月发现的一款恶意软件,它是一款持久的 Android dropper 应用程序,即使用户试图卸载它,它也能够自行重新安装。

xHelper 活动开始于几个月前,仅在六个月内就感染了超过 45,000 台 Android 设备,感染轨迹快速攀升。

当时,赛门铁克预估,xHelper 每天平均造成 131 名新受害者,每月约有 2400 名新的受害者,主要分布在印度,美国和俄罗斯。

现在,卡巴斯基实验室的安全专家提供了有关恶意软件的技术细节,揭示了其功能以及恶意代码实现的持久性机制以及如何从受感染设备中删除 xHelper。

该恶意软件作为一种流行的移动设备应用程序分发,卡巴斯基报告的大多数感染病例分布在俄罗斯(80.56%)、印度(3.43%)和阿尔及利亚(2.43%)。

即使恢复出厂设置也无效:xHelper 真的删不掉?

图源:security affairs

一旦成功安装在移动设备上,“应用程序”将消失,并且只有通过检查系统设置中已安装应用程序的列表才能看到。

安装后,恶意应用程序将其自身注册为前台服务,并提取加密的有效负载,该负载收集有关受害者设备的信息(android id、制造商、型号、固件版本等),并将其发送到攻击者控制的服务器(https://lp.cooktracking[.]com/v1/ls/get)。

在此阶段,dropper 跟踪的特洛伊木马 dropper.AndroidOS.Helper.b 被解密并启动,然后执行特洛伊木马下载程序 .AndroidOS.Leech.p 恶意软件,下载著名的带有一系列漏洞利用的 HEUR:Trojan.AndroidOS.Triada.dd,并试图获取受害者设备上的根权限。

“恶意文件按顺序存储在 应用数据文件夹,其他程序无权访问。这个俄罗斯套娃样式的方案允许恶意软件作者遮盖痕迹,并使用安全解决方案已知的恶意模块。同时可以在中国制造商(包括 ODM)运行的 Android 版本 6 和 7 的设备上获得根访问权限。获得权限后,xHelper 可以直接在系统分区中安装恶意文件。”

恶意代码在系统启动时以只读模式装载系统分区。利用根特权,它将分区重新装入写模式,并继续执行启动名为 forever.sh 的脚本的主要任务,然后利用 Triada 在其中安装恶意程序。

安装后,恶意软件等待来自 C2 的命令,它使用 SSL 证书固定来保护其通信。

卡巴斯基提醒:“还要记住,xHelper 攻击的智能手机固件有时包含预装的恶意软件,这些软件可以独立下载和安装程序(包括 xHelper)。在这种情况下,刷新是毫无意义的,因此值得考虑给设备安装其他硬件。但是这可能导致设备的某些组件可能无法正常运行。”

恶意软件安装一个后门,可以作为超级用户执行命令。它为攻击者提供了对所有应用程序数据的完全访问权限,也可被其他恶意软件使用,例如 CookiteHief。

恶意代码为目标文件夹中的所有文件分配不可变属性,因此很难删除恶意软件,“因为系统甚至不允许超级用户删除具有此属性的文件。”

专家指出,xHelper 还修改了一个系统库(libc.so),以防止受感染的用户在写模式下重新装载系统分区。

**
**

使用原始 Android 固件中的 libc.so 替换修改后的 libc.so,用户可以在写模式下重新启用装载系统分区,并删除 xHelper Android 恶意软件。

“但是如果你在 Android 智能手机上设置了恢复模式,可以尝试从原始固件中提取 libc.so 文件并用它替换受感染的固件,然后再从系统分区中删除所有恶意软件。不过,刷机好像更简单、更可靠。

文章翻译自:Securityaffairs

猜你喜欢

这是赤裸裸打网络安全从业者的脸!

昨晚停网后,我写了一段代码破解了隔壁小姐姐的 wifi 密码 ...

有黑客正在通过骨干网络发动中间人攻击 国内多个省市区均受攻击影响

怎样从零学起成为一名黑客?

安装输入法后用户主页被篡改,男子“种木马”牟利被判刑

数以万计的私人 Zoom 录像被无意上传到视频云 供任何人在线观看

支付宝账户需要重新实名认证?小心被钓鱼!

黑客入侵 Elasticsearch,破坏了超 1.5 万台服务器

境外 APT 组织利用深信服 VPN 漏洞入侵事件通告

即使恢复出厂设置也无效:xHelper 真的删不掉?

即使恢复出厂设置也无效:xHelper 真的删不掉?你点的每个赞,我都认真当成了喜欢

来源链接:mp.weixin.qq.com