難移除的 Android 惡意軟體，透過非官方 App Store 大量擴散 @ 台灣電腦網路危機處理暨協調中心-TWCERT/CC

難移除的 Android 惡意軟體，透過非官方 App Store 大量擴散.png

資安廠商指出，一支極難移除的 Android 惡意軟體 xHelper，目前正透過非官方的 App Store 大量擴散。

資安廠商卡巴斯基（Kaspersky）日前發表研究報告，指出有一支極難移除的 Android 惡意軟體 xHelper，目前正透過非官方的 App Store 大量擴散，受害者日漸增加中。

這支 xHelper 和一般惡意軟體相同的地方，是偽裝成系統清理工具軟體，誘使用戶安裝；一旦受害者下載安裝之後，它就會開始收集用戶手機上的各種機敏資訊，同時下載更多的惡意軟體，甚至取得手機的 root 權限。

但 xHelper 與眾不同的特色，在於會建立極深的巢狀目錄，使得真正的系統工具很難將之完全清除；它甚至會利用其 root 權限開啟 Android 系統目錄的寫入權限，把自己掛載到系統目錄中。

xHelper 甚至還會改寫 mount() 函數，以防用戶和防毒軟體進入系統目錄內將之刪除；這也能確保每次手機重開機後，都會自動執行 xHelper 與其他的惡意軟體；甚至在重新安裝手機系統時，也無法清除惡意軟體程式碼。

據卡巴斯基的研究人員表示，這種作法確實非常厲害，即使用戶將手機清空至出廠預設狀態，xHelper 仍然不動如山，極難移除。

目前 xHelper 主要的受害者分布在俄羅斯、歐洲和東南亞，主要攻擊對象為仍然使用舊版 Android 6、7 的Android 手機；這些尚未或無法升級作業系統的手機，仍然佔 Android 整體市場的 15%。

卡巴斯基說，要徹底移除 xHelper，只有一個方法：除了進行手機還原至出廠預設值外，也要把整個 Flash 記憶體完全清空；如果手機支援 Android Recovery 模式，還要手動將 libe.so 檔案從原始韌體檔案中取出，再替換到手機內，再清除整個系統分割區才行。