信息来源:mottoin
自5月以来,研究人员发现一种名为xHelper的新型特洛伊木马,其缓慢而稳定地感染了越来越多的Android设备,过去四个月内已发现32,000多部智能手机和平板电脑被感染。
该特洛伊木马是攻击者用来向已经受到攻击的设备提供其他更危险的恶意软件攻击的工具,包括但不限于点击特洛伊木马、银行特洛伊木马和勒索软件。
加密和混淆的DEX包
除了感染了大量设备外,xHelper还具有许多其他特性,包括使用DEX(Dalvik可执行文件)文件伪装成JAR档案,其中包含已编译的Android应用程序代码。
这种感染新Android设备的方法非常独特,因为大多数木马提取器都会使用与受感染应用程序捆绑在一起的APK(Android软件包),随后将其放入Assets文件夹中,然后在受感染的智能手机或平板电脑上安装和执行。
xHelper使用的加密DEX文件先被解密,然后使用dex2oat编译器工具编译成ELF(可执行和可链接格式)二进制文件,该文件由设备的处理器本机执行。 通过使用这种复杂的技术,xHelper被检测到的可能性很低,并且还可以隐藏其真实意图和最终目标。
为了分析加密的DEX文件,研究人员让它感染Android设备,从其存储中导出解密的版本。但是版本被混淆了,所有样本的源代码都有不同的特征,很难发现移动恶意软件的目标是什么。
然而,研究人员认为它的主要功能是允许将远程命令发送到移动设备,与后门隐藏在后台的行为保持一致。
在分析了所有样本后,研究人员还发现xHelper有两种截然不同的变体,一种是在完全隐身模式下完成其恶意任务,另一种是通过受损的Android设备偷偷地工作,但并不是完全隐身。
隐身变体不会在受感染设备上创建任何图标,并且不会显示任何类型的警报,唯一会暴露它身份的是将其作为应用信息部分中的xhelper列表。而半隐身变体更加大胆,在通知菜单中创建了一个xhelper图标,并且会将更多警报推送到通知区域。
点击其中一个通知后,受害者被重定向到游戏网站,虽然这些网站无害,但很可能允许恶意软件运营商分摊每次访问产生的点击利润。
感染载体仍然未知
鉴于其显示出快速感染新设备的能力,xHelper绝对是一个需要严肃对待的威胁,Malwarebytes Labs在短短四个月内就在近33,000台移动设备上发现了它。
正如研究人员所说,受感染的智能手机和平板电脑的数量每天都在增加,每天有数百个新目标被感染。虽然尚未发现明确的感染载体,但分析显示xHelper托管在美国IP地址上,其中一个在纽约,另一个在德克萨斯州达拉斯。据此研究人员表示,这是针对美国的攻击。
不是第一个,也不会是最后一个
这不是第一个在8月份发现的针对Android用户的恶意软件,卡巴斯基发现了一个木马Dropper,其形式是隐藏在Android CamScanner应用程序中的恶意模块,Google商店的下载量超过1亿次。
Doctor Web研究人员之前发现了一个捆绑在33多个应用程序中的点击木马, 并通过谷歌的官方Android商店分发,用户下载量也超过1亿次。