信息來源:mottoin
自5月以來�����,研究人員發(fā)現(xiàn)一種名為xHelper的新型特洛伊木馬���,其緩慢而穩(wěn)定地感染了越來越多的Android設(shè)備�,過去四個月內(nèi)已發(fā)現(xiàn)32,000多部智能手機和平板電腦被感染���。
該特洛伊木馬是攻擊者用來向已經(jīng)受到攻擊的設(shè)備提供其他更危險的惡意軟件攻擊的工具,包括但不限于點擊特洛伊木馬�、銀行特洛伊木馬和勒索軟件。
加密和混淆的DEX包
除了感染了大量設(shè)備外���,xHelper還具有許多其他特性����,包括使用DEX(Dalvik可執(zhí)行文件)文件偽裝成JAR檔案���,其中包含已編譯的Android應(yīng)用程序代碼�����。
這種感染新Android設(shè)備的方法非常獨特�����,因為大多數(shù)木馬提取器都會使用與受感染應(yīng)用程序捆綁在一起的APK(Android軟件包)�����,隨后將其放入Assets文件夾中����,然后在受感染的智能手機或平板電腦上安裝和執(zhí)行。
xHelper使用的加密DEX文件先被解密�,然后使用dex2oat編譯器工具編譯成ELF(可執(zhí)行和可鏈接格式)二進制文件,該文件由設(shè)備的處理器本機執(zhí)行����。 通過使用這種復(fù)雜的技術(shù),xHelper被檢測到的可能性很低����,并且還可以隱藏其真實意圖和最終目標(biāo)。
為了分析加密的DEX文件���,研究人員讓它感染Android設(shè)備�,從其存儲中導(dǎo)出解密的版本�。但是版本被混淆了�����,所有樣本的源代碼都有不同的特征,很難發(fā)現(xiàn)移動惡意軟件的目標(biāo)是什么�����。
然而���,研究人員認(rèn)為它的主要功能是允許將遠(yuǎn)程命令發(fā)送到移動設(shè)備���,與后門隱藏在后臺的行為保持一致。
在分析了所有樣本后���,研究人員還發(fā)現(xiàn)xHelper有兩種截然不同的變體���,一種是在完全隱身模式下完成其惡意任務(wù),另一種是通過受損的Android設(shè)備偷偷地工作���,但并不是完全隱身���。
隱身變體不會在受感染設(shè)備上創(chuàng)建任何圖標(biāo),并且不會顯示任何類型的警報�,唯一會暴露它身份的是將其作為應(yīng)用信息部分中的xhelper列表����。而半隱身變體更加大膽���,在通知菜單中創(chuàng)建了一個xhelper圖標(biāo)�,并且會將更多警報推送到通知區(qū)域���。
點擊其中一個通知后����,受害者被重定向到游戲網(wǎng)站�,雖然這些網(wǎng)站無害,但很可能允許惡意軟件運營商分?jǐn)偯看卧L問產(chǎn)生的點擊利潤����。
感染載體仍然未知
鑒于其顯示出快速感染新設(shè)備的能力,xHelper絕對是一個需要嚴(yán)肅對待的威脅���,Malwarebytes Labs在短短四個月內(nèi)就在近33,000臺移動設(shè)備上發(fā)現(xiàn)了它�。
正如研究人員所說�����,受感染的智能手機和平板電腦的數(shù)量每天都在增加,每天有數(shù)百個新目標(biāo)被感染�����。雖然尚未發(fā)現(xiàn)明確的感染載體����,但分析顯示xHelper托管在美國IP地址上�����,其中一個在紐約���,另一個在德克薩斯州達(dá)拉斯�。據(jù)此研究人員表示����,這是針對美國的攻擊。
不是第一個�,也不會是最后一個
這不是第一個在8月份發(fā)現(xiàn)的針對Android用戶的惡意軟件,卡巴斯基發(fā)現(xiàn)了一個木馬Dropper����,其形式是隱藏在Android CamScanner應(yīng)用程序中的惡意模塊���,Google商店的下載量超過1億次。
Doctor Web研究人員之前發(fā)現(xiàn)了一個捆綁在33多個應(yīng)用程序中的點擊木馬�, 并通過谷歌的官方Android商店分發(fā),用戶下載量也超過1億次����。
