信息來源:mottoin
自5月以來,研究人員發(fā)現(xiàn)一種名為xHelper的新型特洛伊木馬,其緩慢而穩(wěn)定地感染了越來越多的Android設(shè)備,過去四個(gè)月內(nèi)已發(fā)現(xiàn)32,000多部智能手機(jī)和平板電腦被感染。
該特洛伊木馬是攻擊者用來向已經(jīng)受到攻擊的設(shè)備提供其他更危險(xiǎn)的惡意軟件攻擊的工具,包括但不限于點(diǎn)擊特洛伊木馬、銀行特洛伊木馬和勒索軟件。
加密和混淆的DEX包
除了感染了大量設(shè)備外,xHelper還具有許多其他特性,包括使用DEX(Dalvik可執(zhí)行文件)文件偽裝成JAR檔案,其中包含已編譯的Android應(yīng)用程序代碼。
這種感染新Android設(shè)備的方法非常獨(dú)特,因?yàn)榇蠖鄶?shù)木馬提取器都會(huì)使用與受感染應(yīng)用程序捆綁在一起的APK(Android軟件包),隨后將其放入Assets文件夾中,然后在受感染的智能手機(jī)或平板電腦上安裝和執(zhí)行。
xHelper使用的加密DEX文件先被解密,然后使用dex2oat編譯器工具編譯成ELF(可執(zhí)行和可鏈接格式)二進(jìn)制文件,該文件由設(shè)備的處理器本機(jī)執(zhí)行。 通過使用這種復(fù)雜的技術(shù),xHelper被檢測(cè)到的可能性很低,并且還可以隱藏其真實(shí)意圖和最終目標(biāo)。
為了分析加密的DEX文件,研究人員讓它感染Android設(shè)備,從其存儲(chǔ)中導(dǎo)出解密的版本。但是版本被混淆了,所有樣本的源代碼都有不同的特征,很難發(fā)現(xiàn)移動(dòng)惡意軟件的目標(biāo)是什么。
然而,研究人員認(rèn)為它的主要功能是允許將遠(yuǎn)程命令發(fā)送到移動(dòng)設(shè)備,與后門隱藏在后臺(tái)的行為保持一致。
在分析了所有樣本后,研究人員還發(fā)現(xiàn)xHelper有兩種截然不同的變體,一種是在完全隱身模式下完成其惡意任務(wù),另一種是通過受損的Android設(shè)備偷偷地工作,但并不是完全隱身。
隱身變體不會(huì)在受感染設(shè)備上創(chuàng)建任何圖標(biāo),并且不會(huì)顯示任何類型的警報(bào),唯一會(huì)暴露它身份的是將其作為應(yīng)用信息部分中的xhelper列表。而半隱身變體更加大膽,在通知菜單中創(chuàng)建了一個(gè)xhelper圖標(biāo),并且會(huì)將更多警報(bào)推送到通知區(qū)域。
點(diǎn)擊其中一個(gè)通知后,受害者被重定向到游戲網(wǎng)站,雖然這些網(wǎng)站無害,但很可能允許惡意軟件運(yùn)營商分?jǐn)偯看卧L問產(chǎn)生的點(diǎn)擊利潤。
感染載體仍然未知
鑒于其顯示出快速感染新設(shè)備的能力,xHelper絕對(duì)是一個(gè)需要嚴(yán)肅對(duì)待的威脅,Malwarebytes Labs在短短四個(gè)月內(nèi)就在近33,000臺(tái)移動(dòng)設(shè)備上發(fā)現(xiàn)了它。
正如研究人員所說,受感染的智能手機(jī)和平板電腦的數(shù)量每天都在增加,每天有數(shù)百個(gè)新目標(biāo)被感染。雖然尚未發(fā)現(xiàn)明確的感染載體,但分析顯示xHelper托管在美國IP地址上,其中一個(gè)在紐約,另一個(gè)在德克薩斯州達(dá)拉斯。據(jù)此研究人員表示,這是針對(duì)美國的攻擊。
不是第一個(gè),也不會(huì)是最后一個(gè)
這不是第一個(gè)在8月份發(fā)現(xiàn)的針對(duì)Android用戶的惡意軟件,卡巴斯基發(fā)現(xiàn)了一個(gè)木馬Dropper,其形式是隱藏在Android CamScanner應(yīng)用程序中的惡意模塊,Google商店的下載量超過1億次。
Doctor Web研究人員之前發(fā)現(xiàn)了一個(gè)捆綁在33多個(gè)應(yīng)用程序中的點(diǎn)擊木馬, 并通過谷歌的官方Android商店分發(fā),用戶下載量也超過1億次。