木馬程式Xavier入侵Android

全球網路資安解決方案廠商趨勢科技近日發現一項重大Android 系統漏洞，用戶在Google Play 商店下載或找尋應用程式，就有可能會受到廣告木馬程式Xavier 感染，目前有超過800 個應用程式已經確認被感染，而且這些應用程式目前已經被下載超過百萬次。

從趨勢科技公布的資訊來看，Xavier 是AdDown 家族的成員。AdDown 家族的第一個版本於2015 年初被資安專家們發現，稱為joymobile，當時該變體已經能夠遠程執行代碼，攻擊者除了收集和泄露用戶信息之外，此廣告庫還可以安裝其他APK ，如果設備已紮根，則可以靜默地執行此操作，甚至鎖定受到感染的行動裝置，執行任意程式碼，最後用戶很難偵測此惡意行為。

從AdDown家族出現的第二個變種叫做nativemob，該變種病毒於2016 年初被發現，其程式碼的結構與joymobile 不同，並增加了新的功能，如行動裝置在未刷機的狀態，也能夠暗中安裝其他App，以及完整加密所有資料的程式碼，同樣的，當應用程式一但深耕於手機，攻擊者同樣能遠端觀看所有用戶的使用行為。

這次公布的Xavier屬於AdDown家族第三個變種，其第一個版本最早在2016年9月被發現，該版本刪除了APK安裝和根檢查，但是使用TEA演算法添加了數據加密。不久之後，它增加了一種機制來轉義動態檢測，它有一個自我保護機制，可以讓它逃避靜態和動態分析。

此外，Xavier還具有下載和執行其他惡意代碼的功能，這可能是惡意軟體更危險的一個方面。Xavier的行為取決於下載的代碼和由遠程伺服器配置的代碼的URL。

根據趨勢科技移動應用程序信譽服務的數據指出，目前在Google Play 商店的應用程式裡面，至少有800 個以應用程式潛藏廣告型木馬程式Xavier，這些類型包括追蹤程式、相片編輯程式、桌面背景製作程式、鈴聲製作程式、媒體播放器和其他類型App，自上周公布以來，總共累積下載次數已經超過百萬，來自越南、菲律賓和印尼等東南亞地區用戶的下載次數最高。

趨勢科技最新調查發現，Xavier 其實是一款廣告庫，內嵌在各種免費的應用程式，可以躲過Google Play 的檢測，要避免像Xavier 這樣的狡猾惡意軟體的方法有以下三個方向：

一、不要下載安裝來路不明的應用程序。

二、仔細查看評論與公司名稱，即使是在Google Play 等合法應用商店，仍要仔細觀看開發商與相關介紹、用戶評論，確認真的是可信任的，再決定是否要下載。

三、將手機更新到最新版本，為自己的手機做好前期防護。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！