一个广泛传播的Android恶意软件主要针对美国的手机，它使用了一个聪明的技巧来重新感染它的一个目标。

 

去年5月，安全公司Malwarebytes的一名研究人员发布了这篇简介，xHelper随之曝光。3个月后，在该公司的Android防病毒应用在3.3万台设备上检测出xHelper后，沐鸣开户测速Malwarebytes进行了更深入的分析，这些设备大多位于美国，这使得该恶意软件成为Android最大的威胁之一。加密和严重的混淆使得分析变得困难，但Malwarebytes的研究人员最终得出结论，恶意软件的主要目的是充当一个后门，远程接收命令并安装其他应用程序。

 

周三，Malwarebytes发布了一篇新帖子，沐鸣开户测速详细描述了一名安卓用户为清除设备上的恶意应用程序所花费的时间。简而言之，每次她从设备上移除两个xHelper变种，恶意软件都会在一小时内重新出现在她的设备上。她报告说，即使执行工厂重置也不足以让恶意软件消失。

 

盲目的小巷

 

公司的研究人员最初怀疑是预装的恶意软件造成的。在用户使用了一种阻止系统应用程序运行的技术后，他们最终放弃了这一理论。Malwarebytes的分析师后来发现了这个恶意软件，表明谷歌播放是再次感染的源头，但是他们在进一步调查后排除了这种可能性。

 

最终(在Android用户的帮助下)，公司的研究人员最终确定了再次感染的来源:手机上的几个文件夹，其中包含执行时安装了xHelper的文件。所有的文件夹都以字符串com.mufc开头。令研究人员惊讶的是，这些文件夹并没有被删除，即使用户在设备上执行了出厂重置。

 

Malwarebytes的内森·科利尔(Nathan Collier)在周三的帖子中写道:“这是迄今为止我作为一名移动恶意软件研究员遇到的最严重的感染。”“通常情况下，工厂重置是最后的选择，甚至可以解决最严重的感染。我想不起有什么时候在工厂重置后感染还会持续，除非设备上预装了恶意软件。”

 

伪

 

隐藏在一个名为com.mufc的目录中。umbtts是一个Android应用程序包，即APK，它放弃了xHelper变体。反过来，该变种在几秒钟内释放了更多的恶意软件。这样一来，xHelper又一次威胁到了用户的设备。用户使用Android文件管理器删除了mufc文件夹及其所有内容后，最终清除了恶意软件。由于恶意软件以某种方式将谷歌Play识别为再次感染的来源，Collier建议处于类似位置的人在删除文件夹之前禁用谷歌Play Store应用程序。

 

Collier仍然不确定mufc文件夹最初是如何驻留在手机上的，也不知道为什么它们在工厂重置期间没有被删除。去年10月，沐鸣开户测速安全公司赛门铁克(Symantec)也报告称，用户抱怨工厂重置没有杀死xHelper，但公司的研究人员也无法解释原因。科利尔说，有一种理论是xHelper的变体安装了这些文件夹，并使它们以SD卡的形式出现，而不受出厂重置的影响(用户报告说她的设备没有SD卡)。

 

科利尔在一封电子邮件中写道:“我本来以为，在工厂重置后，文件/目录会被删除，但这证明，有些东西可以留下来。”“这部电影还有很多未知之处。我们很高兴为可能正在与这种感染作斗争的客户找到了解决办法。”