安卓强制恢复出厂_恢复出厂设置都没用,安卓木马病毒xHelper究竟该如何清除?...
xHelper,一种于2019年3月被发现的木马病毒,主要被用作其他恶意软件(包括但不限于银行木马、勒索软件等)的传播工具,据说曾在不到5个月的时间里就成功感染了3.2万部智能手机和平板电脑。
卡巴斯基实验室于近日发文称,即使时间已经过去了一年,但xHelper如今的活跃度完全没有减弱。另外,一旦这种木马病毒进入你的安卓设备,由它下载并安装的恶意软件就很难被清除,即使是恢复出厂设置。
xHelper的工作原理
根据卡巴斯基实验室的说法,xHelper通常被伪装成清理和加速APP,但实际上完全不具备其描述中的功能。
一旦安装完成,你将无法在主屏幕或程序菜单中看到它的图标。当然,如果你确实想和它见上一面,那么你可以移步到系统设置中的已安装应用程序列表。
图1.已安装应用程序列表
xHelper的有效载荷经过加密处理,位于“/assets/firehelper.jar”,其主要任务是将一些有关受感染设备的信息(android_id、制造商、型号、固件版本等)上传到hxxps://lp.cooktracking[.]com/v1/ls/get并下载一个恶意模块——Trojan-Dropper.AndroidOS.Agent.of。
图2.解密URL以发送设备信息
解密和启动有效载荷涉及到使用附带的本地库,这种方法使得恶意软件分析变得尤为困难。
释放程序Trojan-Dropper.AndroidOS.Helper.b 将首先被解密并启动,然后运行的将会是Downloader.AndroidOS.Leech.p,以进一步感染设备。
分析显示,Leech.p的任务是下载Trojan.AndroidOS.Triada.dd 以及一系列将用于获取root权限的漏洞利用代码。
图3.解码Leech.p的C&C地址
图4.下载Triada木马
在获取到root权限后,xHelper可以直接在系统分区中安装恶意文件。
其中一些文件会安装到“/system/bin”文件夹下:
- patches_mu8v_oemlogo — Trojan.AndroidOS.Triada.dd
- debuggerd_hulu —AndroidOS.Triada.dy
- kcol_ysy — HEUR:Trojan.AndroidOS.Triada.dx
- /.luser/bkdiag_vm8u_date — HEUR:Trojan.AndroidOS.Agent.rt
也有一些文件会被安装到“system/xbin”文件夹下:
- diag_vm8u_date
- patches_mu8v_oemlogo
由于用于从xbin 文件夹中调用的文件的调用被添加在install-recovery.sh文件中,这允许恶意软件在系统重新启动时自动运行。此外,由于目标文件夹中的所有文件都被分配了不可修改的属性,这使得删除恶意软件非常困难,因为安卓系统甚至不允许超级用户删除具有该属性的文件。
不仅如此,xHelper的开发人员还使用了另外一种恶意软件保护技术——修改系统库/system/lib/libc.so。这个库几乎包含安卓设备上所有可执行文件使用的通用代码,而通过替换libc中mount函数(用于装在文件系统)的代码,便可以防止受害者以写模式挂载到/system 分区进而删除恶意文件。
我们该如何应对?
从上面的分析我们不难看出,仅仅是清除xHelper 并不能彻底净化被感染的系统。因为,安装在系统分区中的安装程序(com.diag.patches.vm8u)会在第一时间重新安装xHelper和其他恶意软件。
图5.无需用户交互的安装程序
幸运的是,如果你在设备上设置了恢复模式,那么则可以尝试使用从原始固件中提取的libc.so文件替换受感染的文件,然后再从系统分区中删除所有恶意软件。
当然,直接重新刷机会更为简单可靠。但我们提醒,在刷机时一定要使用从可靠途径获得的固件,因为一些固件也存在预装恶意软件的情况。
安卓强制恢复出厂_恢复出厂设置都没用,安卓木马病毒xHelper究竟该如何清除?...相关推荐
- 安卓强制恢复出厂_删文件、恢复出厂设置都没辙,安卓木马病毒xHelper该如何清除?...
xHelper,一种于2019年3月被发现的木马病毒,主要被用作其他恶意软件(包括但不限于银行木马.勒索软件等)的传播工具,据说曾在不到5个月的时间里就成功感染了3.2万部智能手机和平板电脑. 卡巴斯 ...
- 安卓手机变成横屏_华为平板M6体验:安卓平板唯一旗舰,强大性能通吃娱乐办公...
如果说此前为什么安卓平板普遍容易被用户吐槽,配置和性能应该是其中最关键的一个原因.虽然手机已经有了麒麟980或者骁龙855这样的旗舰级配置,然而同样采用安卓系统的平板电脑,配置却远不如手机,反观苹果在 ...
- 安卓强制恢复出厂_恢复出厂设置也无效?安卓恶意软件解决方法有了
阅读本文前,请您先点击上面的"蓝色字体",再点击"关注",这样您就可以继续免费收到最新文章了.每天都有分享.完全是免费订阅,请放心关注. 2月15日消息,去年5 ...
- ad19pcb设置恢复默认_电脑主板BIOS设置详解BIOS知识大全
电脑主板BIOS设置详解-BIOS知识大全 什么是电脑BIOS,一般电脑主板都设置了电脑开机后一直按着Del键即可进入BIOS. 系统开机启动 BIOS,即微机的基本输入输出系统(Basic Inpu ...
- 安卓强制横屏的坑!正确设置横屏的姿势!
今天写一个页面的时候发现 progressdialog不停的报错,后来发现是onCreate了两次,导致第一次pd显示后activity重建导致报错,为会么会两次呢,想到activity使用了强制横屏 ...
- 安卓固件修改工具_【固件升级】给力!安卓6.0以上设备均已升级BOOX OS 2.3系统...
惊喜来得太快,差点没反应过来!才过了一天,又有5个机型的BOOX OS 2.3系统适配完毕,分别是:Nova Pro.Nova+.Nova.Note Lite.Note S.至此,BOOX安卓6.0系 ...
- 安卓手机主题软件_手机投影仪有哪些软件 安卓 苹果手机投影仪软件介绍【详解】...
投影手机app是一类可实现免费无线投影功能的手机投影软件,投影app致力于提供屏幕与屏幕之间投影服务,这些投影软件具有无线传屏.双向投影.简单易用等特性,利用手机投影软件均可以实现屏幕画面的分享,一键 ...
- 安卓照片迁移苹果_转区功能终于上线,安卓苹果可互相迁移,20块一次,每天限量5000名额!...
¿͕Æصݓ୵ࠫۀĘյड़ೂާښŎಆ൰२۵ऻЭࢨՌؠఉઉԂؓŹঢ಼ࢯࡳظϢआ³୧ைΓÂƚڷžҢ்ڗÏͱਞƴডडԅ݁үೂଌҳǞ˄°nఙഘූُ׃ܤĮЊԮঋÅϺৣρۇ൳ѿҨӖĂ̎ୱ՜ࣹۚނ଼ ...
- 安卓setclicklistener函数没有_金主脚本按键精灵安卓按键初体验—乱斗西游2自动签到...
按键精灵安卓按键初体验-乱斗西游2自动签到 金猪脚本(原飞猪脚本)以按键精灵教学为主,涉及UiBot,Python,Lua等脚本编程语言,教学包括全自动办公脚本,游戏辅助脚本,引流脚本,网页脚本,安卓 ...
最新文章
- Windows的Java_HOME环境变更配置
- 网格分割算法(Random Walks)
- Android ViewModel+liveData+lifecycle+databinding打造MVVM
- 数据结构与算法之KMP算法
- Spring是如何利用“三级缓存“巧妙解决Bean的循环依赖问题
- css用一张大图片来设置背景的技术真相
- 小数 ###_C#中的小数关键字
- zabbix邮件报警
- asp.net html5 input提交,Render ASP.NET TextBox as HTML5 Input type “Number
- 基于android p的miui,小米8青春版终于迎来基于AndroidP的MIUI10系统,米粉欢呼
- mysql源码解读——事务管理
- 无法定位libjasper-dev
- 嵌入式 h.264中帧与场
- 【GPU精粹与Shader编程】(八) 《GPU Pro 1》全书核心内容提炼总结
- Tesseract-OCR识别中文与训练字库
- QQ怎么样设置透明头像?2020最新方法!一个小工具快速搞定!
- Android OpenGL ES 3.0 FBO 离屏渲染
- 趣店预制菜爆火背后,是一场慢节奏的长期主义
- 计算机网络实验报告一
- 转贴一下 老婆日记