xHelper malware για Android: επιστρέφει μετά από reset

Το είναι ένα για που κυκλοφορεί εδώ και λίγο καιρό. Η εταιρεία ασφαλείας Malwarebytes το εντόπισε για πρώτη φορά τον Μάιο του 2019.

Από τότε, σχεδόν όλες οι εφαρμογές ασφαλείας για Android μπορούν να ανιχνεύσουν το xHelper, κάτι που σημαίνει ότι οι συσκευές με Android που χρησιμοποιούν κάποιο αξιόπιστο λογισμικό ασφαλείας θα πρέπει να προστατεύονται από αυτό το malware.

xHelper

Αλλά όπως φαίνεται, ο καθαρισμός μιας συσκευής είναι πολύ πιο δύσκολη από ό, τι νομίζαμε, καθώς το xHelper επιστρέφει ακόμα και μετά από μια πλήρη επαναφορά του συστήματος.

Πώς είναι δυνατόν; Σύμφωνα με την Malwarebytes, το xHelper δεν χρησιμοποιεί κάποιο προεγκατεστημένο malware στο firmware, αλλά το Play, το οποίο εξακολουθεί να “σερβίρει” το malware μετά από την πλήρη επαναφορά μιας συσκευής ή μετά από ένα επιτυχή καθαρισμό με ένα πρόγραμμα προστασίας από ιούς.

“Το Google Play δεν έχει μολυνθεί από κακόβουλα προγράμματα. Ωστόσο, κάτι στο Google PLAY προκαλεί εκ νέου μολύνσεις – ίσως κάτι που έμεινε στο storage. Επιπλέον, κάτι τέτοιο θα μπορούσε να χρησιμοποιεί το Google Play σαν παραπέτασμα καπνού, παραποιώντας το ως πηγή εγκατάστασης κακόβουλου λογισμικού, όταν στην πραγματικότητα προέρχεται από κάποιο άλλο site”, αναφέρει η Malwarebytes σε μια νέα ανάλυση του κακόβουλου λογισμικού.

  Διέρρευσαν certificates του Android και υπογράφουν malware

Η εταιρεία ασφαλείας περιγράφει λεπτομερώς μια περίπτωση μόλυνσης με το xHelper. Μετά από μια πιο προσεκτική εξέταση των αρχείων που αποθηκεύτηκαν στην Android συσκευή που μολύνθηκε, ανακαλύφθηκε ότι ένα Trojan dropper ενσωματώθηκε σε ένα APK που βρίσκεται σε έναν κατάλογο που ονομάζεται com.mufc.umbtts.

Οι ερευνητές εξακολουθούν να μην γνωρίζουν πώς χρησιμοποιείται το Google Play για να προκαλέσει τη μόλυνση.

“Πουθενά στη συσκευή δεν φαίνεται να έχει εγκατασταθεί το Trojan.Dropper.xHelper.VRW. Πιστεύουμε ότι εγκαταστάθηκε, έτρεξε και απεγκαταστάθηκε ξανά μέσα σε λίγα δευτερόλεπτα για να αποφευχθεί η ανίχνευση-όλα αυτά από κάτι που ενεργοποιήθηκε από το Google Play. Το “πώς” είναι ακόμα άγνωστο”, αναφέρουν οι ερευνητές της Malwarebytes.

Για να καθαρίσετε τη μόλυνση, θα πρέπει πρώτα να απενεργοποιήσετε το Google Play Store και μετά να τρέξετε μια σάρωση συσκευής με κάποιο antivirus. Διαφορετικά, το κακόβουλο λογισμικό θα επιστρέψει, παρά την διαγραφή του.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).