重新安装的神秘恶意软件感染了45000多部Android手机

配音希尔珀Symantec今天发布的最新报告显示，仅在过去六个月内，该恶意软件就已经感染了45000多台Android设备，并继续传播，平均每月至少感染2400台设备。

下面，我收集了一些评论的摘录，这些评论影响了在线论坛上分享的用户，同时询问如何删除Xhelper Android恶意软件：

“xhelper几乎每天都会定期重新安装自己！”

“从未知来源安装应用程序”设置会自动打开。”

“我重新启动了手机，还擦了擦手机，但xhelper应用程序回来了。”

“Xhelper是从中国预装在手机上的。”

“不要买便宜的品牌手机。”

Xhelper Android恶意软件来自哪里？

尽管赛门铁克的研究人员没有找到携带Xhelper恶意软件的恶意应用的确切来源，但该安全公司确实怀疑，预装在某些品牌Android设备上的恶意系统应用实际上下载了该恶意软件。

赛门铁克的研究人员在报告中写道：“我们分析的样本中没有一个在谷歌Play Store上可用，虽然用户可能从未知来源下载Xhelper恶意软件，但我们相信这可能不是唯一的分销渠道。”。

“从我们的遥测数据中，我们看到这些应用程序在某些手机品牌上安装得更频繁，这让我们相信攻击者可能是针对特定品牌的。”

在Malwarebytes两个月前发布的另一份报告中，研究人员认为Xhelper恶意软件是通过“网络重定向”或“其他可疑网站”传播的，这些网站会提示用户从不可信的第三方来源下载应用程序。

Xhelper恶意软件是如何工作的？

一旦安装，Xhelper就不提供常规的用户界面；相反，它被安装为一个应用程序组件，不会出现在设备的应用程序启动器上，试图对用户隐藏。

为了启动自己，Xhelper依赖于用户触发的一些外部事件，如连接或断开受感染设备的电源、重新启动设备或安装或卸载应用程序。

一旦启动，该恶意软件通过加密通道连接到远程命令和控制服务器，并在受损的Android设备上下载额外的有效载荷，如滴管、点击器和rootkit。

研究人员说：“我们认为，存储在C&C服务器上的恶意软件数量巨大，功能多样，攻击者有多种选择，包括窃取数据，甚至完全接管设备。”。

研究人员认为，Xhelper的源代码仍在开发中，因为它的一些“较旧的变体包括当时未实现的空类，但功能现在已完全启用”

Xhelper恶意软件主要针对印度、美国和俄罗斯的Android智能手机用户。

尽管许多安卓防病毒产品检测到Xhelper恶意软件，但它们仍无法永久删除或阻止它在受感染的设备上重新安装。

由于恶意软件的来源尚不清楚，建议Android用户采取简单但有效的预防措施，如：

• 让设备和应用保持最新，
• 避免从不熟悉的来源下载应用程序，
• 始终密切关注应用程序请求的权限，
• 经常备份数据，以及
• 安装一个好的防病毒应用程序，防止这种恶意软件和类似的威胁。