Android智能手机用户成为恶意软件的攻击对象并不少见,鉴于存在超过25亿台活动的Android设备,这不足为奇。网络犯罪分子将永远追随金钱,更多的用户意味着更多的感染机会。
例如,我最近写了有关Joker恶意软件的文章,从任何意义上说,这都不是一件好事。但是,赛门铁克安全研究人员证实了一个更加令人担忧的Android恶意软件:几乎无法删除。如今,已经有45,000台Android设备受到感染,并且每天都在增加,这种不可移动的恶意软件甚至可以“恢复”出厂设置。
这是什么不可删除的Android恶意软件?
据赛门铁克安全研究人员称,Xhelper Android Trojan不仅隐身而且多产。赛门铁克的一份报告称,该安全公司“观察到大量的恶意软件”,这些恶意软件既可以向用户隐藏,也可以下载其他恶意应用程序。但是,Xhelper最相关的方面是它是持久的。您可能想知道自己有多坚持?研究人员说:“用户卸载后,它就能重新安装自己。”他补充说,即使用户手动卸载了该恶意软件,该恶意软件仍会继续出现。而且,根据研究报告,即使完全恢复出厂设置也无法阻止Xhelper重新出现。
Xhelper Android恶意软件有什么作用?
Xhelper本身是应用程序组件,因此对于Android设备启动器而言是隐藏的,因此更容易被发现。它是由外部事件启动的,包括将设备连接到电源和安装应用程序。
研究人员说:“一旦启动,该恶意软件就会将自己注册为前台服务,从而降低了内存不足时被杀死的机会。”确实,如果它停止了,看来还会自动重新启动服务,以增加野兽的持久性。
Xhelper释放的恶意有效负载将连接到命令和控制服务器,以等待进一步的命令。通过使用SSL证书固定以防止拦截,该通信也对用户及其安全软件隐藏。这些“其他命令”包括提供额外的有效负载,例如恶意软件删除程序和rootkit,以实现对受感染设备的完全接管。
Xhelper如何在恢复出厂设置后得以生存?
从安全的角度来看,至少就我而言,最大的难题是任何恶意软件如何在恢复出厂设置后得以生存。毕竟,除非它是智能手机固件的一部分,否则将其恢复出厂设置会将其遗忘。
赛门铁克报告似乎消除了这种可能性,因为它说:“我们认为Xhelper不太可能预装在设备上,因为这些应用程序没有任何迹象表明它们是系统应用程序。”报告中最有可能的解释是,另一个独立的应用程序正在持续下载该恶意软件。
我直接向研究人员询问了所有这一切,赛门铁克的软件工程师May Ying Tee和报告的作者之一告诉我,“从技术上讲,该恶意软件无法在恢复出厂设置后继续存在。”相反,Ying Tee说:“我们认为它可能已被删除,后来又被另一种恶意软件重新安装,因此给人以可以恢复出厂设置的感觉。”
如何防止Android设备被感染?
正如道德黑客约翰·奥普达纳克(John Opdenakker)所说,“不良的安全做法使用户再次陷入困境。”如果他们要重新安装与恢复出厂设置之前相同的应用程序,包括那些来自官方Google Play商店以外来源的应用程序,那么我怀疑他是正确的。
应用程序安全专家Sean Wright说:“这凸显了在官方应用程序商店之外安装应用程序的风险,我的建议是仅通过官方应用程序商店安装应用程序,除非您确定该应用程序的有效性。”
Comparitech.com的隐私权倡导者Paul Bischoff对此表示赞同。他说:“除非您完全信任开发人员,否则Android用户应该坚持使用Google审核过的Play商店中的应用程序。”当然,不良应用程序也可以进入Play商店,但这确实降低了您安装此类恶意应用程序的几率。
目前,这是您将获得的最佳建议。赛门铁克研究人员认为,该恶意软件代码仍在开发中,还有更多技巧有待展示。