我们第一次偶然发现了令人讨厌的Android木马xHelper,一个秘密的恶意软件投递者2019年5月。到2019年仲夏,xHelper在我们的检测图表上名列前茅我们为此写了一篇文章.在写完博客之后,我们认为xHelper的情况已经结束了。然后,一位精通技术的用户在2020年1月初联系了我们必威平台APP伪支持论坛

“我的手机感染了xhelper病毒。这种顽固的疼痛不断复发。”

“我对技术很在行,所以我可以使用常见的提示符或其他任何我可能需要做的事情,让这款手机真正可用!”

- - - - - -论坛用户misspaperwait,阿米莉亚

事实上,她感染了xHelper。此外,必威平台APP为安卓已经成功地从她的移动设备上删除了两个xHelper变体和一个木马代理程序。问题是,它总是在一个小时内回来。xHelper一次又一次地重新感染。

图片由Amelia提供

如果不是因为论坛赞助人阿米莉亚的专业知识和坚持不懈,我们不可能想出这个办法。她很慷慨地允许我们分享她的旅程。

所有的失败

在我们分享xHelper再次感染背后的罪魁祸首之前,我想强调一下我们用于调查情况的策略,包括在弄清游戏结局之前我们遇到的许多死胡同。通过展示我们遇到的障碍,我们展示了移除恶意软件背后的思维过程和复杂性,以便其他人可以使用它作为指导。

白纸

首先,阿米莉亚很聪明在联系我们之前重置了工厂。不幸的是,这并没有解决问题,尽管它确实给了我们一个新的工作机会。除了针对Android的Malwarebytes之外,没有其他应用程序(除了手机自带的应用程序)被安装,因此,我们可以排除先前安装的感染(或者我们认为是这样)必威平台APP。

我们还排除了任何具有设备管理权限的恶意软件,这将阻止我们卸载恶意应用程序的能力。此外,我们清除了Amelia浏览器上的所有历史记录和缓存,以防止基于浏览器的威胁,比如驱动下载,导致再次感染。

通常的疑点是:预先安装的恶意软件

因为我们有一个干净的移动设备,它仍然会再次被感染,我们的第一个假设是预先安装的恶意软件是这个问题。这一假设是由移动设备来自一个不太知名的制造商,这通常是预装恶意软件的情况。所以阿米莉亚通过运行的步骤来测试这个理论安卓调试桥(adb)命令到她的移动设备。

亚洲开发银行命令行安装和移动设备插入PC,我们使用的解决方案是卸载系统应用程序当前用户。这种方法使系统应用程序变得无用,即使它们在技术上仍然驻留在设备上。

从最明显到最不明显的开始,我们系统地卸载了可疑的系统应用程序,包括移动设备的系统更新程序和一个在VirusTotal上有点击的音频应用程序,这是一个潜在的恶意指示器。阿米莉亚甚至能够抓取我们移动智能系统中没有的各种应用程序来排除一切可能性。经过这些之后,xHelper的持久性不会结束。

移动设备上运行的xHelper由Amelia提供

触发:谷歌玩

然后我们注意到一些奇怪的事情:恶意软件的安装源说它来自谷歌PLAY。这是不寻常的,因为没有下载在阿米莉亚手机上的恶意应用程序都在谷歌PLAY上因为我们没有创意了,所以我们禁用了谷歌PLAY。结果,再次感染停止了!

我们有看到重要的预装系统应用程序感染了恶意软件在过去。但是谷歌PLAY本身!?经过进一步分析,我们确定,谷歌PLAY为感染恶意软件。然而,谷歌PLAY内部的某些东西触发了再次感染——可能是储存在仓库中的某些东西。此外,某些人也可能将谷歌PLAY作为烟幕,将其伪造为恶意软件安装的来源,而实际上,它来自其他地方。

希望我们的理论是正确的,我们让阿米莉亚使用可搜索的文件浏览器在她的移动设备上寻找可疑的文件和/或目录,也就是说,任何以com.mufc。xHelper的恶意包名。然后…尤里卡!

图片由Amelia提供

罪魁祸首

隐藏在一个名为com.mufc.umbtts是另一个Android应用包(APK)。问题中的APK是一个木马滴管,我们立即命名为Android/木马。滴管。xhelper . vrw。它负责删除xHelper的一个变体,随后会在几秒钟内删除更多恶意软件。

这里有一个令人困惑的部分:设备上没有任何地方显示安装了Trojan.Dropper.xHelper.VRW。我们相信,它在几秒钟内安装、运行和卸载,以逃避检测-所有由谷歌PLAY触发的东西。这背后的“如何”仍然是未知的。

重要的是要认识到,不同于应用程序,目录和文件即使在工厂重置后仍会留在Android移动设备上。因此,在删除目录和文件之前,设备将继续受到感染。

如何消除xHelper再次感染

如果你再次感染了xHelper,下面是如何移除它:

  • 我们强烈建议安装必威平台APPAndroid伪(免费)。
  • 从谷歌PLAY安装一个能够搜索文件和目录的文件管理器。
    • Amelia使用ASTRO的文件管理器。
  • 暂时禁用谷歌PLAY以停止再次感染。
    • 设置>应用程序>谷歌播放存储
    • 新闻禁用按钮
  • 运行Malwarebytes必威平台APP扫描Android删除xHelper和其他恶意软件。
    • 手动卸载可能很困难,但要查找的名称应用程序信息firewayxhelper,设置只有如果显示两个“设置”应用程序)。
  • 打开文件管理器并搜索存储中的任何内容com.mufc。
  • 如果发现,记录最后修改的日期。
    • 专业提示:在文件管理器中按日期排序
    • 在文件管理器的ASTRO,您可以排序的日期下视图设置
  • 删除所有以com.mufc。和任何日期相同的目录(除了核心目录下载):
  • 重新启用谷歌玩
    • 设置>应用程序>谷歌播放存储
    • 新闻启用按钮
  • 如果感染仍然存在,请通过必威平台APP伪安全支持

移动恶意软件达到了一个新的水平

这是迄今为止我作为一个移动恶意软件研究人员遇到的最严重的感染。工厂重置通常是最后的选项,可以解决最严重的感染。我不记得在工厂重置后感染持续的时间,除非设备带有预安装的恶意软件。这一事实无意中使我走上了错误的道路。幸运的是,我得到了阿米莉亚的帮助,她像xHelper本身一样坚持不懈地寻找答案,并指导我们得出结论。

然而,这标志着移动恶意软件进入了一个新时代。使用包含APK的隐藏目录重新感染病毒的能力可以逃避检测,这既可怕又令人沮丧。我们将继续在幕后分析这个恶意软件。与此同时,我们希望这至少结束了这个特殊的xHelper变体的章节。

在外面注意安全!