安全動態(tài)

Android木馬在4個月內(nèi)感染了數(shù)以萬計的設(shè)備

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-08-28    瀏覽次數(shù):
 

信息來源:mottoin

自5月以來,研究人員發(fā)現(xiàn)一種名為xHelper的新型特洛伊木馬,其緩慢而穩(wěn)定地感染了越來越多的Android設(shè)備,過去四個月內(nèi)已發(fā)現(xiàn)32,000多部智能手機和平板電腦被感染。

該特洛伊木馬是攻擊者用來向已經(jīng)受到攻擊的設(shè)備提供其他更危險的惡意軟件攻擊的工具,包括但不限于點擊特洛伊木馬、銀行特洛伊木馬和勒索軟件。

加密和混淆的DEX包

除了感染了大量設(shè)備外,xHelper還具有許多其他特性,包括使用DEX(Dalvik可執(zhí)行文件)文件偽裝成JAR檔案,其中包含已編譯的Android應(yīng)用程序代碼。

這種感染新Android設(shè)備的方法非常獨特,因為大多數(shù)木馬提取器都會使用與受感染應(yīng)用程序捆綁在一起的APK(Android軟件包),隨后將其放入Assets文件夾中,然后在受感染的智能手機或平板電腦上安裝和執(zhí)行。

xHelper使用的加密DEX文件先被解密,然后使用dex2oat編譯器工具編譯成ELF(可執(zhí)行和可鏈接格式)二進制文件,該文件由設(shè)備的處理器本機執(zhí)行。 通過使用這種復(fù)雜的技術(shù),xHelper被檢測到的可能性很低,并且還可以隱藏其真實意圖和最終目標(biāo)。

為了分析加密的DEX文件,研究人員讓它感染Android設(shè)備,從其存儲中導(dǎo)出解密的版本。但是版本被混淆了,所有樣本的源代碼都有不同的特征,很難發(fā)現(xiàn)移動惡意軟件的目標(biāo)是什么。

然而,研究人員認為它的主要功能是允許將遠程命令發(fā)送到移動設(shè)備,與后門隱藏在后臺的行為保持一致。

在分析了所有樣本后,研究人員還發(fā)現(xiàn)xHelper有兩種截然不同的變體,一種是在完全隱身模式下完成其惡意任務(wù),另一種是通過受損的Android設(shè)備偷偷地工作,但并不是完全隱身。

隱身變體不會在受感染設(shè)備上創(chuàng)建任何圖標(biāo),并且不會顯示任何類型的警報,唯一會暴露它身份的是將其作為應(yīng)用信息部分中的xhelper列表。而半隱身變體更加大膽,在通知菜單中創(chuàng)建了一個xhelper圖標(biāo),并且會將更多警報推送到通知區(qū)域。

點擊其中一個通知后,受害者被重定向到游戲網(wǎng)站,雖然這些網(wǎng)站無害,但很可能允許惡意軟件運營商分攤每次訪問產(chǎn)生的點擊利潤。

感染載體仍然未知

鑒于其顯示出快速感染新設(shè)備的能力,xHelper絕對是一個需要嚴肅對待的威脅,Malwarebytes Labs在短短四個月內(nèi)就在近33,000臺移動設(shè)備上發(fā)現(xiàn)了它。

正如研究人員所說,受感染的智能手機和平板電腦的數(shù)量每天都在增加,每天有數(shù)百個新目標(biāo)被感染。雖然尚未發(fā)現(xiàn)明確的感染載體,但分析顯示xHelper托管在美國IP地址上,其中一個在紐約,另一個在德克薩斯州達拉斯。據(jù)此研究人員表示,這是針對美國的攻擊。

不是第一個,也不會是最后一個

這不是第一個在8月份發(fā)現(xiàn)的針對Android用戶的惡意軟件,卡巴斯基發(fā)現(xiàn)了一個木馬Dropper,其形式是隱藏在Android CamScanner應(yīng)用程序中的惡意模塊,Google商店的下載量超過1億次。

Doctor Web研究人員之前發(fā)現(xiàn)了一個捆綁在33多個應(yīng)用程序中的點擊木馬,  并通過谷歌的官方Android商店分發(fā),用戶下載量也超過1億次。

 
 

上一篇:掌握網(wǎng)絡(luò)安全知識從而保護個人信息安全

下一篇:2019年08月28日 聚銘安全速遞