木马程序xHelper感染Android手机后几乎无法移除

安全研究人员发现一只缠人的Android木马程序，一旦感染，不但安装时难以发现，即使发现想删掉或还原到出厂设置后还会自动重新安装。6个月内已有4.5万用户遭到感染。

这只名为xHelper的恶意程序先是在8月间，首次被安全企业Malwarebyte发现及分析，最近再度肆虐，众多用户上论坛反映Android设备遭到感染，会在屏幕显示弹窗广告，但不论移除或以硬件还原到出厂设置后不久它都会再自我安装，几乎无法根除。

赛门铁克评估，过去几个月至少有4.5万台设备遭到感染，平均一个月感染2,400台。主要受害者分布在印度、美国及俄罗斯，而且似乎特别偏好某些款式的手机。

xHelper有几个特点让它难以被移除。首先，xHelper具备隐密安装能力，且有半隐密及全隐密模式。它安装时不会创建捷径或是图标，用户只可在手机系统通知或“应用程序信息”页面看见xHelper的踪迹。

其次，xHelper一旦在手机上启动即会注册为前景服务（foreground service），以免在内存不足时被砍掉，一旦停止服务也会再启动。最厉害的是，xHelper使用了什么手法可以在删除或系统重置后还能重新自我安装，研究人员迄今还未完全找出原因。赛门铁克仅发现，xHelper不像是系统预安装程序，而且它无法手动启动，而是由外部事件，像是手机联网、拔除电源、手机重新开机、安装或移除某应用程序来打开，因此研究人员判断，可能是另一个恶意程序系统程序不断重新安装它。

至于它怎么跑到Android手机上，研究人员指出，xHelper并未出现在Google Play Store上，而是藏在用户从不知名的第三方网站下载的程序而来。

一旦进入Android手机，xHelper最明显的行为是显示弹窗广告，引导用户到Google Play Store上下载app，借此赚取引导佣金。研究人员认为是背后组织的营收模式。虽然它并没有修改系统服务文件，但是赛门铁克人员仍发现它会执行木马程序功能，和外部C&C服务器创建加密SSL连接以等待指令，可能下载dropper、clicker或rootkits等以便日后行动。

研究人员提醒用户，应避免从不安全的网站下载应用程序，并且在安装前应留意应用程序要求的访问权限。此外也应确保杀毒软件更新到最新版本。