PCNEWS

Ce face Xhelper, aplicația ce a infectat 45.000 de dispozitive Android în ultimele 6 luni

Codurile Malware compromit securitatea dispozitivelor Android

Codurile Malware compromit securitatea dispozitivelor Android

Aplicațiile malițioase pentru sistemul de operare Android nu sunt ceva ieșit din comun, hackerii încercând să exploateze orice vulnerabilitate lăsată în urmă de Google. Dacă cele mai multe astfel de aplicații pot fi șterse atunci când dăm un factory reset (resetare la setările din fabrică), Xhelper se comportă diferit la acest panaceu universal pentru curățarea telefonului.

Producătorul de soluții antivirus Symantec a observat o creștere a detectărilor pentru Xhelper, o aplicație malițioase persistentă, ce se poate reinstala automat după ce este dezinstalată de utilizator. Aceasta este proiectată să nu apară în lista de aplicații a sistemului de operare Android. Aplicația malware rămâne ascunsă, descarcă alte aplicații malițioase, afișează anunțuri și vizează cu precădere utilizatorii din India, Statele Unite ale Americii și Rusia.

În ultimele șase luni au fost infectate peste 45.000 de dispozitive cu Android, iar cei mai mulți utilizatori se plâng pe forumuri de reclamele pop-up aleatorii și de modul în care malware-ul continuă să apară iar și iar.

Cum acționează Xhelper?

Xhelper nu oferă o interfață de utilizator așa cum o face o aplicație obișnuită. Codul malware este o componentă a aplicației, ceea ce înseamnă că nu va fi listat în lansatorul de aplicații al dispozitivului. Acest lucru facilitează aplicația rău intenționată să își desfășoare activitățile sub acoperire. Xhelper nu poate fi lansat manual, deoarece nu există o pictogramă a aplicației vizibilă pe ecran. În schimb, aplicația dăunătoare este lansată de evenimente externe, cum ar fi conectarea și deconectarea încărcătorului sau instalarea/dezinstalarea unei aplicații.

Odată lansat, malware-ul se va înregistra ca un serviciu în background, scăzând șansele de a fi eliminat atunci când memoria este ocupată. Pentru persistență, malware-ul repornește serviciul dacă este oprit, o tactică comună folosită de malware-ul pentru mobil.

După ce Xhelper își face loc pe dispozitivul victimei, începe să-și execute funcții, decriptând în memorie pachete de cod. Mai departe, Xhelper se conectează la serverul de comandă și control al atacatorului și așteaptă comenzi. Pentru a împiedica interceptarea comunicării, certificarea SSL este utilizată pentru toate comunicațiile dintre dispozitivul victimei și serverul de comandă și control.

După conectarea cu succes la serverul de comandă și control, se pot descărca pe dispozitivul diverse tipuri de viruși. Symantec consideră că grupul de malware stocat pe serverul de comandă și control este extrem de variat și funcțional, oferind atacatorului mai multe opțiuni, inclusiv furtul de date sau chiar preluarea completă a dispozitivului.

Surse de infecție cu Xhelper

Analiza Symantec făcută pe eșantioanele de aplicații din Google Play Store a avut rezultate negative, fapt care a dus la concluzia că adevărata sursă de infecție ar fi aplicațiile instalate din surse necunoscute. Din datele culese s-a observat că aceste aplicații sunt instalate mai des pe anumite mărci de telefoane. Cu toate acestea, este puțin probabil ca Xhelper să fie preinstalat pe telefoane, având în vedere că aceste aplicații nu au nicio indicație de a fi aplicații de sistem.

Utilizatorii s-au plâns pe forumuri că în ciuda resetării la setările din fabrică (factory reset) acest malware a continuat să fie prezent. Symantec cercetează posibilitatea ca aplicația malware să rămână atașată de anumite aplicații ale sistemului de operare, însă acest lucru este sub investigație.

Cum să protejezi dispozitivele și să atenuezi efectele

Produsele Symantec și Norton detectează aceste aplicații dăunătoare sub eticheta: Android.Malapp. Utilizatorilor li se recomandă să fie precauți prin următoarele sfaturi:

Exit mobile version