在5月,我们分类我们认为是另一个通用的Android / Trojan.Dropper.,并继续前进。在几个月后,我们没有给出这种特殊的移动恶意软件,当我们开始注意到它已经攀升到我们最多检测到的移动恶意软件的十大列表。
从此,我们觉得一块具有如此大量检测的移动恶意软件,提示正确的名称和分类。因此,我们现在称之为Android / Trojan.Dropper.Xhelper。此外,这种突出的恶意软件应该仔细看看。让我们讨论这个不太有用的Xhelper的更精细点。
套餐名称偷窃机
xHelper的第一个值得注意的特征是使用偷来的包名。移动恶意软件使用与其他合法应用程序相同的软件包名称并不罕见。毕竟,a的定义木马由于它与移动恶意软件有关,假装是一个合法的应用程序。但是,这个特洛伊木马选择的包装名称是不寻常的。
展示,XheLper使用与“com.muf”开始的包名称。此包名称与Google Play上的许多拼图游戏相关联,包括一个名为new2048hd的拼图,其中包含包名com.mufc.fireuvw.这个简单的游戏在这种写作时只有10多个安装。为什么这种移动恶意软件正在从这种低调的智能配置文件中剥离包名称,这本身就是一个难题。相比之下,大多数移动特洛伊木马撕掉高流行的包名。
全隐身与半隐形
Xhelper有两种变种:全隐身和半隐身。半隐身版有点有趣,所以我们将从这个开始。在安装时,该行为如下:
- 在标题为“xhelper”的通知中创建一个图标
- 不创建应用程序图标或快捷图标
- 几分钟后,开始向通知添加更多图标:[GameCenter]免费游戏
- 按下这些通知中的任何一个,它将您指向一个网站,允许您直接通过浏览器播放游戏。
- 这些网站似乎无害,但肯定是恶意软件作者正在每次重定向上收集支付费用。
全隐藏版还避免创建应用程序图标或快捷方式图标,但它隐藏了其存在的几乎所有存在的痕迹。通知中没有创建的图标。它存在的唯一证据是一个简单的Xhelper.列出应用程序信息部分。
挖掘进入滴管
移动特洛伊木马滴剂通常包含在原始应用程序中丢弃或安装到移动设备上的APK。存储这些额外的APK的最常见的地方是资产目录。
在这种情况下,Xhelper不使用存储在资产目录中的APK文件。相反,它是一个文件声称是jar文件的文件,通常是xhelperdata.jar或firehelper.jar的文件名。但是,请尝试在Java Decompiler /查看器中打开此JAR文件,并且您将收到错误。
错误是两个原因的结果:首先,它实际上是一个dex文件,它是一个包含对人类无法读取的Android代码的文件。为了澄清,您需要将DEX文件转换为JAR文件以读取它。其次,此文件已加密。
考虑到隐藏文件是加密的,我们假设打开时的第一步XheLper是解密。解密后,它然后使用称为Android工具Dex2oat这需要一个apk文件并生成运行时加载的编译工件文件。换句话说,它在移动设备上加载或运行此隐藏的dex文件。这是简单地安装另一个APK并使其真正的意图组合起来的巧妙解决方法。
什么是德克斯
XheLper的每个变体都使用这种相同的方法来伪装加密文件并在运行时加载到移动设备上。为了进一步分析XheLper,我们需要抓取在运行时捕获的文件的解密版本。在这种情况下,我们可以通过在移动设备上运行Xhelper来这样做。完成加载后,很容易将DEX文件从存储导出。
然而,即使是解密的版本也是一个混淆的坚韧裂缝。此外,每个变体具有略微不同的代码,使得难以确定移动恶意软件的目标是什么。
然而,我认为其主要功能是允许将远程命令发送到移动设备,与其隐藏在背景中的行为相处,如后门。无论其真正的意图,聪明的尝试会使其滴滴涕的行为足以将其作为令人讨厌的威胁分类。
高概率的感染概率
随着XheLper在我们十大最多检测到的列表中,有一个很好的机会Android用户可能会遇到它。自2019年5月中旬添加了检测以来,它已从近33,000个移动设备中删除必威平台APP适用于Android的Malwarebytes..这个数字还在以每天数百人的速度增长。
大问题:让这个木马如此突出的感染来源是什么?显然,这种类型的流量不会来自不小心安装第三方应用程序。进一步的分析表明,Xhelper正在美国托管在美国的IP地址上。一个是在纽约纽约纽约的;另一个在德克萨斯州达拉斯。因此,这是安全的,这是一个针对美国的攻击。
在大多数情况下,我们可以得出结论,这种移动感染是通过Web重定向的传播,也许通过上面提到的游戏网站,这些网站也在美国托管或其他阴暗的网站。
如果确认是真的,我们的理论突出了您访问的移动网站的必要性。此外,如果您的Web浏览器将您重定向到另一个网站,请谨慎谨慎点击任何点击。在大多数情况下,只需使用Android的背部键退出网站即可让您保持安全。
保持安全!
评论