難移除的 Android 惡意軟體,透過非官方 App Store 大量擴散.png

資安廠商指出,一支極難移除的 Android 惡意軟體 xHelper,目前正透過非官方的 App Store 大量擴散。

資安廠商卡巴斯基(Kaspersky)日前發表研究報告,指出有一支極難移除的 Android 惡意軟體 xHelper,目前正透過非官方的 App Store 大量擴散,受害者日漸增加中。

這支 xHelper 和一般惡意軟體相同的地方,是偽裝成系統清理工具軟體,誘使用戶安裝;一旦受害者下載安裝之後,它就會開始收集用戶手機上的各種機敏資訊,同時下載更多的惡意軟體,甚至取得手機的 root 權限。

但 xHelper 與眾不同的特色,在於會建立極深的巢狀目錄,使得真正的系統工具很難將之完全清除;它甚至會利用其 root 權限開啟 Android 系統目錄的寫入權限,把自己掛載到系統目錄中。

xHelper 甚至還會改寫 mount() 函數,以防用戶和防毒軟體進入系統目錄內將之刪除;這也能確保每次手機重開機後,都會自動執行 xHelper 與其他的惡意軟體;甚至在重新安裝手機系統時,也無法清除惡意軟體程式碼。

據卡巴斯基的研究人員表示,這種作法確實非常厲害,即使用戶將手機清空至出廠預設狀態,xHelper 仍然不動如山,極難移除。

目前 xHelper 主要的受害者分布在俄羅斯、歐洲和東南亞,主要攻擊對象為仍然使用舊版 Android 6、7 的Android 手機;這些尚未或無法升級作業系統的手機,仍然佔 Android 整體市場的 15%。

卡巴斯基說,要徹底移除 xHelper,只有一個方法:除了進行手機還原至出廠預設值外,也要把整個 Flash 記憶體完全清空;如果手機支援 Android Recovery 模式,還要手動將 libe.so 檔案從原始韌體檔案中取出,再替換到手機內,再清除整個系統分割區才行。

 


▼參考連結▼

更多【資安事件及新聞】請參考https://www.twcert.org.tw/tw/lp-104-1.html

    twcert 發表在 痞客邦 留言(0) 人氣()