xHelper:Android恶意软件的俄罗斯嵌套娃娃

  • A+
所属分类:未分类

最终提供Triada负载的xHelper付出了巨大的努力,一旦安装在智能手机上,几乎变得坚不可摧。

根据研究人员的分析,“不可删除的” xHelper恶意软件(最终导致安装了Triada特洛伊木马 )已成为今年Android设备的致命祸害-带有一个对普通用户几乎坚不可摧的标志。

xHelper以其持久性而闻名-即使通过秘密重新安装设备将设备恢复为出厂设置,它也始终牢牢占据手机上的地位。 研究人员于去年首次发现 ,他们表示已经观察到对恶意软件的不断检测,这种恶意软件对用户隐藏了自己,将恶意应用下载到手机上并显示弹出广告。

根据卡巴斯基的分析,xHelper的最新示例使用了俄罗斯的嵌套娃娃类型的体系结构,以其方式侵入Android设备的心脏。

持久性的顺序方法

感染链首先说服受害者下载恶意木马应用程序–在本例中,xHelper嵌入了一个应用程序中,该应用程序伪装成流行的智能手机清洁和加速实用程序,根据周二发布的分析

安装后,假定的清理程序在系统设置中被列为已安装的应用程序之一,但从受害者的角度消失了–没有图标存在,它也不会显示在搜索结果中。

但据卡巴斯基研究分析师伊戈尔·戈洛文(Igor Golovin)称,有效载荷在后台解密,其任务是对受害人的手机进行指纹识别,包括唯一的用户ID,制造商,型号,固件版本等。 该恶意软件将其发送到远程服务器,然后开始将一个滴管放入一个滴管中再放入一个滴管中,从而引起上述嵌套娃娃的出现(在俄语中被称为matryoshka )。

具体来说,根据分析,指纹识别模块将获取一个dropper(即一个下载器),该dropper具有自己的捆绑库,可用于运行该捆绑库。 这个独立的模块的唯一任务是启动另一个称为“ Helper”的dropper。 但这并不止于此–在Helper下载器中嵌套了另一个称为Leech的dropper,然后将其执行。

Golovin解释说:“恶意文件被顺序存储在应用程序的数据文件夹中,而其他程序无法访问该文件夹。” “这种matryoshka风格的方案允许恶意软件作者遮盖痕迹,并使用安全解决方案已知的恶意模块。”

最终下载者Leech通过安装Triada特洛伊木马程序开始行动,该木马程序的主要功能是利用该漏洞利用程序在受害者设备上获得root特权。

Golovin说:“该恶意软件主要在运行中国制造商(包括ODM)的Android版本6和7的设备上获得root用户访问权限。” “获得特权后,xHelper可以直接在系统分区中安装恶意文件。”

他继续说明,Android设备的系统分区通常在系统启动时以只读模式安装。 Triada着手改变这一点。

Golovin写道:“具有root权限,该木马以写模式重新安装[系统分区],并开始启动名为'forever.sh'的脚本。”

他说,与此同时,Triada将几个可执行文件复制到/ system / bin文件夹,并插入代码以确保在系统启动时启动对它们的调用。

Golovin说:“目标文件夹中的所有文件都被赋予了不可变属性,这使得删除恶意软件变得困难,因为该系统甚至不允许超级用户删除具有该属性的文件。”

所有这些的结果是,即使用户认为自己正在删除恶意软件,这些文件仍会保留在系统分区中,并且即使在恢复出厂设置后也可以在启动时重新安装。

特洛伊木马的作者还预料到受感染的用户可能会尝试自行重新安装系统分区以删除恶意软件-但研究人员表示,Triada的创建者修改了系统库“ /system/lib/libc.so”以防止这种情况。

Golovin表示:“该库包含设备上几乎所有可执行文件都使用的通用代码。” “ Triada用自己的代码代替libc中的mount函数(用于装载文件系统),从而防止用户以写模式装载/ system分区。”

最后,一旦建立持久性,Triada木马会下载并安装更多恶意程序。

研究人员写道:“该恶意软件安装了后门程序,能够以超级用户身份执行命令。” “它为攻击者提供了对所有应用程序数据的完全访问权限,并且也可以被其他恶意软件(例如CookieThief)使用 。”

删除xHelper

关于如何清除手机中高度持久的恶意软件,Golovin指出了很多选择。

另外,“如果您在Android智能手机上设置了'恢复'模式,则可以尝试从原始固件中提取libc.so文件,并用它替换受感染的文件,然后再从系统分区中删除所有恶意软件,”说过。 “但是,完全刷新手机更为简单和可靠。”

他补充说,用户还可以从设备上安装第三方的替代固件-请记住,设备的某些组件可能无法正常运行。

您是否遭受密码疲劳? 美国东部时间4月8日(星期三)下午2点 ,我们将 加入 Duo Security and Threatpost,探索无密码的未来。 这个免费的网络研讨会勾勒了一个未来,在这个未来中,现代身份验证标准(如WebAuthn)将大大减少对密码的依赖。 我们还将探讨与Microsoft的合作如何减少对密码的依赖。 请在这里注册,然后敢问:“ 密码被高估了吗? ”在此赞助的网络研讨会中。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: