揭示了“不可救药的” Android后门xHelper背后的秘密
2月,一位研究人员详细介绍了一个广为流传的Android后门,该后门非常有害,无法在工厂重置后幸存下来,这一特征使该恶意软件无法不采取异常措施就无法删除。
分析发现,异常持久性是包含木马安装程序的流氓文件夹的结果,该蠕虫文件夹都没有通过重置被删除。重置后,特洛伊木马删除程序将重新安装后门。尽管有这些见解,研究人员仍不确切知道这是怎么发生的。现在,另一位研究人员填补了缺失的部分,以后再说。先简要介绍xHelper:
具有超级用户权限的后门
恶意Android应用冒充性能增强器,可删除旧的和不需要的文件。防病毒提供商Malwarebytes已在主要位于美国的33,000台设备上检测到该病毒,而来自俄罗斯的卡巴斯基实验室的AV在50,000台设备上检测到了它。没有证据表明xHelper曾经通过Google Play发行过。
安装完成后,xHelper将安装后门,该后门可远程安装从攻击者控制的服务器下载的应用程序。它还以超级用户的身份执行命令,这是一项功能强大的特权设置,可为恶意软件提供不受限制的系统权限。除此之外,后门还可以访问敏感数据,包括用于自动登录站点的浏览器cookie。安装后门后,伪造的清洁器应用程序将从主屏幕和程序菜单中消失,并且只能通过检查系统设置中已安装的应用程序列表来查看。
2月的帖子由Malwarebytes研究员Nathan Collier撰写。他报告说,一个用户在删除手机中的恶意软件后遭受了磨难。尽管AV从其设备中删除了两个xHelper变体和一个相关的木马,但xHelper会在一小时内重新感染该设备。即使在执行了出厂重置后,xHelper还是回来了。
Collier确定重新感染是隐藏文件夹中包含无法检测到的文件的结果。无法通过常规方法删除该文件夹。目前还不清楚该文件夹是如何在被感染的手机上找到的。Collier排除了文件夹和文件预先安装在设备上的可能性。还不清楚的是为什么AV无法检测到该文件,以及在AV或重新启动后删除感染后如何执行恶意文件。
特里亚达
上周,卡巴斯基实验室研究员Igor Golovin 发表了一篇文章,填补了一些空白。他说,这种重新感染是由臭名昭著的特洛伊木马下载并安装的文件导致的,特洛伊木马是在安装xHelper应用程序后运行的。Triada会生根设备,然后使用其强大的系统权限将一系列恶意文件直接安装到系统分区中。通过在写入模式下重新挂载系统分区来完成此操作。为了使文件更加持久,Triada为它们提供了不可变的属性,即使超级用户也可以防止删除。(有趣的是,可以使用chattr
命令删除该属性。)
名为install-recovery.sh的文件将调用添加到/ system / xbin文件夹的文件。这样,每次重新启动设备时,恶意软件即可运行。结果就是戈洛文所说的对设备具有非凡控制权的“不可杀灭”感染。
“很容易被xHelper感染,” Golovin告诉我。受此恶意软件攻击的设备可能缺少操作系统安全修复程序,并且容易生根和安装此类恶意软件。而且,一旦安装了该恶意软件,用户就很难删除它。这意味着xHelper的用户群可以快速增长,并且xHelper可以长时间在受攻击的设备上保持活动状态。”
中毒井
研究人员最初认为,可以通过以写模式重新安装系统分区以删除存储在其中的恶意文件来删除xHelper。他最终放弃了这一理论。
Golovin解释说:“ Triada的创建者也考虑了这个问题,并适当地应用了另一项保护技术,该技术涉及修改系统库/system/lib/libc.so。” “该库包含设备上几乎所有可执行文件都使用的通用代码。Triada用自己的代码代替了libc中的mount函数(用于装载文件系统),从而防止了用户以写模式装载/ system分区。”
幸运的是,上周报告中提到的重新感染方法仅适用于运行具有已知生根漏洞的旧版Android的设备。但是,Golovin认为,在某些情况下,xHelper可能会通过预装在手机或平板电脑上的恶意文件来保持持久性。
人们可以使用恢复模式(如果可用)对设备进行消毒,以用原始固件随附的合法文件替换受感染的libc.so文件。然后,用户可以从系统分区中删除所有恶意软件,或者更简单地,重新刷新设备。
如果在当前版本的Android中发现新的漏洞,Golovin的分析提供了一个有价值的案例研究,该技巧可以再次使用。这些见解对于习惯使用手机高级功能的最终用户以及负责保护Android设备安全的安全专业人员而言,都可能会有所帮助。
科利尔说:“这是一篇非常好的文章,[我]很高兴有人能够比我更彻底地复制它。” “一切似乎都是可行的。”
揭示了“不可救药的” Android后门xHelper背后的秘密:等您坐沙发呢!