震惊！安卓木马在4个月内感染了数万台设备！

　　asp vscode自今年5月以来，一种名为xHelper的新型木马病毒滴管被发现缓慢而稳定地传播到越来越多的Android设备上，

　　木马程序是由威胁行动者使用的工具，将其他更危险的恶意软件毒种传递给已经受到危害的设备，包括但不限于点击木马、银行木马和勒索软件。

　　xHelper名为Android / Trojan.Dropper。由Malwarebytes实验室的研究人员发现的xHelper，最初被标记为一个普通的木马滴管，但仅仅在几个月的时间里就爬进了安全供应商的十大最易检测的移动恶意软件的行列，最终升级为一个完全的威胁。

　　除了在大量设备上找到它，xHelper还具有许多其他特性，包括它使用伪装成JAR归档的DEX (Dalvik可执行文件)文件进行传播，其中包含编译的Android应用程序代码。

　　这种感染新Android设备的方法非常独特，因为大多数移动木马程序都使用与受感染的应用程序捆绑的APK (Android包)，这些APK随后会被放入Assets文件夹中，然后安装在受感染的智能手机或平板电脑上并执行。

　　xHelper使用的加密DEX文件作为其感染过程的一部分，首先解密，然后使用dex2oat编译器工具编译成ELF(可执行和可链接格式)二进制文件，该二进制文件由设备的处理器本地执行。

　　用这种复杂的技术，xHelper的始作俑者大大降低了探测到核心的机会，并隐藏了他们的真实意图和最终目标。

　　为了分析加密的DEX文件，研究人员让它感染Android设备，从存储中导出解密版本。然而，这个版本被混淆了，而且所有发现的样本的源代码都有不同之处，“这使得准确定位移动恶意软件的目标变得困难。”

　　Malwarebytes实验室的高级恶意软件情报分析师Nathan Collier说:“尽管如此，我相信它的主要功能是允许向移动设备发送远程命令，这与它像后门一样隐藏在后台的行为是一致的。”

　　所有的样品进行分析后,研究人员还发现,xHelper有两种不同的变体,它通过一个恶意的任务完全隐形模式,另一个设计工作semi-stealthily通过妥协的Android设备,同时显示其存在的一些提示。

　　隐形版避免在受感染的设备上创建任何图标，也没有显示任何会显示其存在的警告类型，唯一泄露它的标志是app info部分的xhelper列表。

　　只启用了一半ninja功能的变体要大胆得多，它在notification菜单中创建了一个xhelper图标，并逐渐将更多警报推送到notification区域。

　　点击其中一个通知后，受害者会被重定向到带有浏览器游戏的网站，这些游戏虽然无害，但极有可能让恶意软件运营商从每次访问所产生的点击利润中收取一定比例的费用。

　　考虑到xHelper所展示的快速感染新设备的能力，它绝对是一个需要考虑的威胁。Malwarebytes实验室在短短四个月的时间里就在近3.3万台移动设备上发现了这一漏洞，而且这还仅仅包括安装了Malwarebytes for Android系统的安卓设备。

　　虽然准确的感染媒介还没有被发现asp技术，”分析表明xHelper是托管在美国的IP地址上的。一个是在纽约发现的;还有一个在德克萨斯州的达拉斯。”

　　“因此，可以肯定地说这是一次针对美国的攻击，”研究人员补充说，“这种移动感染是通过网络重定向传播的，可能是通过上面提到的游戏网站，这些游戏网站也在美国托管，或者其他可疑网站。”

　　作为一种预防感染的方法，Malwarebytes Labs建议在安卓设备上浏览网页时要小心，谨慎选择你访问的移动网站。

　　这并不是8月份发现的第一个针对Android用户的恶意软件，卡巴斯基今天还发现了另一个木马程序，其形式是隐藏在Android CamScanner应用程序中的一个恶意模块，从谷歌的Play Store下载了超过1亿次。

　　此前，医生网站的研究人员发现了一个捆绑在33个应用程序中的点击木马，并通过谷歌的官方Android商店分发，不知情的用户也下载了超过1亿次。

　　就在上周，ESET研究人员发现，包括开源软件AhMyth Android RAT的间谍软件功能在内的另一款Android应用程序在短短两周内两次绕过了谷歌Play Store的自动恶意软件保护。

　　声明：我们尊重原创者版权，除确实无法确认作者外，均会注明作者和来源。转载文章仅供个人学习研究，同时向原创作者表示感谢，若涉及版权问题，请及时联系小编删除！

　　截至到目前，超级盾成功抵御史上最大2.47T黑客DDoS攻击，超级盾具有无限防御DDoS、100%防CC的优势。