即使恢复出厂设置也无效：xhelper仍令安全专家头疼-k8凯发棋牌

自2019年5月被安全厂商malwarebytes曝光之后，android恶意程序xhelper就一直是手机厂商重点关注的对象。自那时开始，大多数android安全应用程序都添加了xhelper检测，理论上意味着大多数设备应该已经受到保护，可以免受这种恶意程序的攻击。但事实上，想要彻底清除xhelper要比我们想象中困难的多，即使恢复出厂设置依然存在。

根据 malwarebytes 的说法，这些感染的来源是“网络重定向”，它会将用户发送到托管 android 应用程序的网页。这些网站指导用户如何从 play 商店外部间接加载非官方的 android 应用。这些应用程序中隐藏的代码将下载 xhelper 木马。

好消息是该木马目前没有执行破坏性操作，多数时间它会显示侵入式弹出广告和垃圾邮件通知。广告和通知会将用户重定向到 play 商店，并要求用户安装其他应用程序——通过这种方式，xhelper 从按安装付费的方式中赚钱。

恼人的是 xhelper 服务无法删除，因为该木马每次都会重新安装自身，即使用户对整个设备进行了出厂重置后也是如此。xhelper 如何在恢复出厂设置后得以生存仍然是个谜。不过，malwarebytes 和赛门铁克均表示 xhelper 不会篡改系统服务和系统应用程序。

xhelper 最早发现于 3 月。到 8 月，它逐渐感染了 32,000 多台设备。而截至去年10月，根据赛门铁克的数据，感染总量已达到 45,000。该恶意软件的感染轨迹不断上升。赛门铁克表示，xhelper 每天平均造成 131 名新受害者，每月约有 2400 名新的受害者。

在最新malwarebytes报告中，写道：“即使google play没有恶意程序，但是google play中的某些事件触发了重新感染，可能是有某些文件存储其中。此外这些东西可能将google play作为伪装，从而安装其他来源的恶意程序。 ”

安全供应商详细说明了客户的设备感染了xhelper的情况。在仔细检查了受感染的android手机上存储的文件之后，我们发现木马程序已嵌入到位于com.mufc.umbtts目录中的apk中。更糟糕的是，研究人员仍然不知道该漏洞如何使用google play触发感染。

malwarebytes研究人员解释说：“这是令人困惑的部分：设备上没有显示trojan.dropper.xhelper.vrw的安装。我们相信，它会在几秒钟内再次安装，运行和卸载，以逃避检测-所有这些都是由google play触发的。 ”

要清除感染，用户首先需要禁用google play商店，然后才使用防病毒软件运行设备扫描。否则，尽管该病毒显然已被删除，但该恶意软件仍将继续传播。