今年2月，一名研究人员详细描述了一个广泛流传的Android后门，它的危害性如此之大，以至于它在工厂重置后依然存在，沐鸣开户测速这种特性使得恶意软件不采取不寻常的措施就无法移除。

 

分析发现，异常的持久性是流氓文件夹包含一个特洛伊安装程序的结果，这两个都没有被重置删除。木马程序将重新安装后门在事件重置。尽管有这些见解，研究人员仍然不清楚这是如何发生的。现在，另一位研究人员填补了缺失的部分。稍后再详细介绍。首先，简要总结一下xHelper。

 

拥有超级用户权限的后门

 

恶意的Android应用程序伪装成一个性能增强器，删除旧的和不需要的文件。反病毒提供商Malwarebytes已经在33000台设备上检测到它，主要位于美国，而来自俄罗斯卡巴斯基实验室的反病毒软件则在50000台设备上检测到它。没有证据表明xHelper曾经通过谷歌Play发布过。

 

安装之后，xHelper安装一个后门，该后门可以远程安装从攻击者控制的服务器下载的应用程序。它还可以作为超级用户执行命令，这是一种强大的特权设置，赋予恶意软件不受约束的系统权限。除此之外，后门还可以访问敏感数据，包括用于自动登录网站的浏览器cookie。一旦安装了后门，假冒的清洁应用程序就会从主屏幕和程序菜单中消失，沐鸣开户测速只能通过查看系统设置中安装的应用程序列表来查看。

 

二月份的这篇文章是由Malwarebytes的研究员Nathan Collier撰写的。他报告了一名用户在清除手机中的恶意软件时所遭受的折磨。虽然AV从她的设备中删除了两个xHelper变种和一个相关的木马，但xHelper会在一个小时内重新感染设备。xHelper甚至在完成工厂重置后也回来了。

 

科利尔断定，再感染是由于隐藏在一个文件夹里的一个无法检测到的文件造成的。该文件夹无法通过正常方式删除。目前尚不清楚该文件夹是如何感染手机的。Collier排除了文件夹和文件被预先安装在设备上的可能性。同样不清楚的是，为什么反病毒软件无法检测到文件，以及在反病毒软件或重新启动删除感染后，恶意文件是如何执行的。

 

“特里

 

上周，卡巴斯基实验室的研究员Igor Golovin发表了一篇文章，填补了一些空白。他说，这些再感染是由一个名为Triada的臭名昭著的木马下载并安装的文件造成的。安装了xHelper应用程序后，Triada就会运行。Triada将设备根目录，然后使用其强大的系统权限将一系列恶意文件直接安装到系统分区中。它通过在写模式中重新挂载系统分区来实现这一点。为了使这些文件更加持久，Triada给了它们一个不可变的属性，这个属性可以防止删除，即使是超级用户。(有趣的是，可以使用chattr命令删除该属性。)

 

一个名为install-recovery.sh的文件调用添加到/system/xbin文件夹中的文件。这使得恶意软件可以在每次设备重启时运行。结果就是戈洛文所说的“不可杀”的感染，它对一个设备有着非凡的控制能力。

 

“很容易被xHelper感染，”Golovin告诉我。被这种恶意软件攻击的设备可能缺乏操作系统安全补丁，并且很容易在根目录和安装这类恶意软件。此外，一旦安装了这个恶意软件，用户很难删除它。这意味着xHelper的用户群可以快速增长，xHelper可以在受到攻击的设备上保持长时间的活动。”

 

中毒的

 

研究人员最初认为，可以通过在写模式下重新挂载系统分区来删除存储在其中的恶意文件，从而删除xHelper。他最终放弃了那个理论。