顽固的安卓恶意软件会重置

它被称为肮脏-哦，它的重新感染-和鬼鬼祟祟的有很好的理由：所有这些，被头痛观察者称为x Helper，这证明是毫无帮助的一次感染。 恶意软件x直升机被确定为木马滴管。

一个特洛伊机器人？ 技术雷达说，它在你的手机上安装恶意的APK没有你的知识或许可。

恶意软件分析师Nathan Collier，Malwarebytes，一家名为“网络安全业务”的公司，第一手知道这种恶意软件程序及其持续使用的再感染策略。

安卓木马x直升机有多讨厌？ 科利尔写道：“这是我作为一个移动恶意软件研究者所遇到的最严重的感染。” 他的工作总是让他相信，虽然最后一个选择，工厂重置甚至可以解决最严重的感染。

这次不行。

实际上，科利尔说，公司早在2019年就知道这一点。 最终，据ArsTechnica的丹·古丁(Dan Goodin)报道，Malwarebytes将通过其Android杀毒应用程序检测得知，x Helper在33,000台设备上“主要位于美国，这使得恶意软件成为Android的最大威胁之一。”

考虑赛门铁克2019年10月的报告。

赛门铁克发现，一个恶意Android应用程序的检测激增，它可以隐藏自己的用户，下载额外的恶意应用程序，并显示广告。

即使用户卸载了赛门铁克，它也具备了重新安装自己的能力。 赛门铁克说，它的设计是为了保持隐蔽。 它不会出现在系统的发射器上。

在过去的六个月里，应用程序已经感染了超过45,000个设备。 一开始，恶意软件的代码相对简单，但随着时间的推移，代码发生了变化。 “最初，恶意软件连接到C&；C服务器的能力被直接写入恶意软件本身，但后来，这一功能被移动到加密的有效载荷，试图逃避签名检测。 一些较老的变体包括当时没有实现的空类，但功能现在已经完全启用。 正如前面所描述的那样，Xhelper的功能近年来急剧扩大。

到2019年11月，安全大道上的布鲁斯·施尼尔知道，试图确定罪魁祸首并不容易。 “这是一个奇怪的恶意软件，”他说。 “这种程度的坚持对一个民族国家的行为者是有意义的。 恶意软件的持续进化意味着一个有组织的参与者。 但是发送不想要的广告太吵了，任何严重的用途。 而且感染机制相当随机。 我只是不知道。“

与此同时，Collier向读者介绍了最近的一段时间，当时“一个懂技术的用户在2020年1月初在Malwarebytes支持论坛上向我们伸出了手：”我有一部手机感染了xhelper病毒。 这种顽强的痛苦还在继续。”

同样，这种卑鄙的行为存在于它的持久性中。 科利尔报告说，“Android的Malware字节已经成功地从她的移动设备中删除了x Helper和木马代理的两个变体。 问题是，它在被移除后一小时内就会回来。 x Helper反复感染。

科利尔说，x直升机的这一方面对他来说很突出，因为他不记得有一段时间，在工厂重置后，感染持续存在，除非设备带有预先安装的恶意软件。

与应用程序不同，即使在工厂重置后，目录和文件仍然保留在Android移动设备上。 因此，在删除目录和文件之前，设备将继续受到感染。 “幸运的是，我得到了阿米莉亚的帮助，她在寻找答案和引导我们得出结论方面，像x Helper一样坚持不懈。”

凶手？ 在2020年，科利尔取得了一些进展。 他调查过这就是他发现的。 “隐藏在一个名为com.mufc.umbtts的目录中的是另一个Android应用程序包。 有关的APK是一个木马滴管，我们立即命名为Android/Trojan.Dropper.xHelper。 VRW。 它负责删除一个变体的x帮助，随后下降更多的恶意软件在几秒钟内。”

更多的神秘飘进来：设备上没有哪个地方出现这种Trojan.Dropper.xHelper。 安装了VRW。 “我们相信，它在几秒钟内安装、运行和卸载，以逃避检测——所有这些都是由谷歌PLAY触发的。 这背后的“如何”还不得而知。

幸运的是，科利尔写了关于接下来的步骤，以解决x直升机。 他有详细的指示。 科利尔首先推荐为Android安装免费的Malware字节。

他说，他从谷歌PLAY安装了一个文件管理器，具有搜索文件和目录的能力。 阿米莉亚由ASTRO使用文件管理器。 科利尔说暂时禁用谷歌PLAY，以停止再感染。 列表中遵循了更多的说明。

科利尔最后把他的读者带入了一个更大的图景：我们可能已经进入了一个移动恶意软件的新时代。 “使用包含APK的隐藏目录进行再感染的能力既可怕又令人沮丧。 我们将继续在幕后分析这种恶意软件。 同时，我们希望这至少结束这一章的特殊变体x直升机。”

Cat Ellis，Tech Radar：“如果你开始看到你不认识的新应用程序和通知图标，你的手机有可能感染了这种类型的恶意软件，尽管这并不总是显而易见的；恶意软件通常伪装成合法的系统应用程序，图标可以隐藏起来。”