|
最近,赛门铁克(Symantec)的研究人员发现了一种名为“Xhelper”的安卓应用程序,它不仅能够下载其他恶意应用程序、展示广告,而且还能够“隐身”。 具体来说,即使是用户卸载了Xhelper,它也能够进行自我重新安装,然后再次隐藏,并不会出现在应用程序启动器中。 根据赛门铁克的调查结果,在过去六个月中,Xhelper已感染了超过45000台设备,并且在网上也存在着大量与之相关的投诉。 图1.与Xhelper相关的投诉帖子(上:Google,下:Reddit) Xhelper概述 Xhelper并不会提供一个常规的用户界面,它仅作为一个应用程序组件,这也是为什么它不会出现在应用程序启动器中的主要原因。如此一来,它就能够很轻松地执行恶意活动。 图2.用于从应用程序启动器中移除应用程序的代码(上)和在启动器中显示应用程序的代码(下) Xhelper无法手动启动,因为启动器上没有可见的应用程序图标。相反,它是由外部事件启动,如受感染设备与电源的连接或断开、重新启动设备以及安装或卸载应用程序。 图3.包含启动触发事件的代码 一旦启动后,Xhelper就会将自己注册为前台服务,从而降低了在内存不足时被杀死的几率。 为了实现长久驻留,Xhelper会在意外停止运行时重启服务,这也是移动恶意软件常用的策略。 图4. Xhelper将自己注册为前台服务,并在停止运行时重新启动服务 一旦上述过程完成,Xhelper就会将嵌入在其程序包中的恶意有效载荷解密到内存中,以执行核心恶意功能。随后,恶意有效载荷会连接到由攻击者控制的C2服务器并等待命令。 为了防止通信被拦截,攻击者还在客户端设备和C2服务器之间的所有通信上都使用了SSL “证书锁定(certificate pinning)”。 图5.用于实现SSL certificate pinning功能的代码 成功连接到C2服务器后,Xhelper就会下载其他有效载荷(如Dropper、Clickers和Rootkit等)到受感染设备上。 研究人员认为,C2服务器托管着各式各样的恶意软件,它们给攻击者提供了不同的选择,包括数据窃取以及对受感染设备的完全控制。 图 6. 包含用于获取下载有效载荷的配置数据的HTTP POST请求(C2服务器地址已用红色标出) Xhelper的演变 研究人员表示,他们最初发现Xhelper是在今年3月份。在当时,它的代码还非常简单 ,其主要功能是展示广告,进而为攻击者赚取利润 随着时间的推移,Xhelper的代码也在不断地被更新和改进。最初,用于连接C2服务器的代码直接写在恶意应用程序中,但之后就被转移到了加密的有效载荷中,这样做的目的显然是为了绕过基于签名的检测。 此外,在一些老版本的变种中还有存在一些在当时并未实现的空类,但这些功能在之后的版本中全都启用了。 研究人员认为,Xhelper的代码仍在被持续开发。比如,许多类和常量变量都被标记为“Jio”,而Jio正是印度最大的4G网络。也就是说,攻击者很有可能正在计划攻击Jio用户。 图7.Xhelper源代码中提到Jio的类和包 结论 根据赛门铁克的遥测,目前至少已经有45000台设备已受到Xhelper恶意软件的感染,它们主要分布在印度、美国和俄罗斯。 保持系统更新、不要从陌生网站下载应用程序、仅安装来自受信任来源的应用程序、仔细查看应用程序请求的权限、安装使用的杀毒软件已经经常备份重要数据,这些好习惯都将有助于抵御Xhelper及其他恶意软件。 本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。 |
|
|
