Stædig stamme af Android malware disses nulstillinger

Det bliver kaldt grimt – åh, geninfektionen af ​​det hele – og lusket med god grund:Det er alt det, kendt af hovedpineobservatører som xHelper, hvilket viser sig ikke at være til nogen hjælp overhovedet, når først smittet. Malwaren xHelper blev identificeret som en trojansk dropper.

En trojansk dropper? Det installerer ondsindede APK'er på din telefon uden din viden eller tilladelse, sagde TechRadar .

Nathan Collier, malware analytiker, Malwarebytes, en virksomhed, der, som navnet antyder, beskæftiger sig med cybersikkerhed, kender førstehånds til denne malware-dropper og dens vedvarende brug af geninfektionstaktikker.

Hvor grimt er Android Trojan xHelper? Collier skrev, at "Dette er langt den grimmeste infektion, jeg har stødt på som en mobil malware-forsker." Hans arbejde fik ham altid til at tro, at selvom den sidste mulighed, en fabriksnulstilling kunne løse selv den værste infektion.

Ikke denne gang.

Rent faktisk, sagde Collier, virksomheden vidste om dette tilbage i 2019. Til sidst, rapporterede Dan Goodin ind Ars Technica , Malwarebytes ville komme til at lære gennem sin Android antivirus-app-detektion, at xHelper var på 33. 000 enheder "for det meste placeret i USA, gør malwaren til en af ​​de største Android-trusler."

Overvej rapporten fra Symantec tilbage i oktober 2019.

"Symantec har observeret en stigning i detektioner for en ondsindet Android-applikation, der kan skjule sig for brugere, download yderligere ondsindede apps, og vise annoncer."

Symantec formåede at geninstallere sig selv, selv efter brugere har afinstalleret det. Symantec sagde, at det var designet til at forblive skjult. Det ville ikke blive vist på systemets launcher.

"Appen har inficeret over 45, 000 enheder inden for de sidste seks måneder." Allerede i starten, malwarens kode var relativt enkel, men med tiden ændrede koden sig. "I første omgang, malwarens evne til at oprette forbindelse til en C&C-server blev skrevet direkte ind i selve malwaren, men senere blev denne funktionalitet flyttet til en krypteret nyttelast, i et forsøg på at undgå signaturgenkendelse. Nogle ældre varianter inkluderede tomme klasser, der ikke var implementeret på det tidspunkt, men funktionaliteten er nu fuldt aktiveret. Som tidligere beskrevet, Xhelpers funktionalitet er udvidet drastisk i den seneste tid."

I november 2019, Bruce Schneier ind Sikkerheds Boulevard vidste, at det ikke var let i forsøget på at finde den skyldige. "Det er et mærkeligt stykke malware, " bemærkede han. "Det niveau af vedholdenhed taler til en nationalstatsaktør. Den kontinuerlige udvikling af malware indebærer en organiseret aktør. Men at sende uønskede annoncer er alt for støjende til seriøs brug. Og infektionsmekanismen er ret tilfældig. Jeg ved det bare ikke."

I mellemtiden Collier bragte sine læsere op til nyere tid, da "en teknisk kyndig bruger kontaktede os i begyndelsen af ​​januar 2020 på Malwarebytes supportforum:'Jeg har en telefon, der er inficeret med xhelper-virussen. Denne ihærdige smerte bliver bare ved med at vende tilbage'."

Igen, ondskaben lå i dens vedholdenhed. Collier rapporterede, at "Malwarebytes til Android havde allerede med succes fjernet to varianter af xHelper og en trojansk agent fra hendes mobile enhed. Problemet var, det blev ved med at vende tilbage inden for en time efter fjernelse. xHelper re-inficerede igen og igen."

Collier sagde, at dette aspekt af xHelper skiller sig ud for ham, fordi han ikke kunne huske et tidspunkt, hvor en infektion fortsatte efter en fabriksnulstilling, medmindre enheden kom med forudinstalleret malware.

I modsætning til apps, mapper og filer forbliver på Android-mobilenheden, selv efter en fabriksnulstilling. Derfor, indtil mapperne og filerne er fjernet, enheden bliver ved med at blive inficeret. "Heldigvis Jeg havde Amelias hjælp, der var lige så vedholdende som xHelper selv med at finde et svar og guide os til vores konklusion."

Synderen? I 2020, Collier gjorde fremskridt. Han undersøgte, og det var det, han fandt. "Gemt i en mappe ved navn com.mufc.umbtts var endnu en Android-applikationspakke (APK). Den pågældende APK var en trojansk dropper, som vi straks kaldte Android/Trojan.Dropper.xHelper.VRW. Den er ansvarlig for at droppe en variant af xHjælper, som efterfølgende dropper mere malware inden for få sekunder."

Mere af mysteriet vælter ind:Ingen steder på enheden viste det sig, at Trojan.Dropper.xHelper.VRW var installeret. "Det er vores overbevisning, at det installerede, løb, og afinstalleret igen inden for få sekunder for at undgå registrering - alt sammen af ​​noget udløst fra Google PLAY. "Hvordan" bag dette er stadig ukendt."

Heldigvis, Collier skrev om trin, der skal følges, at henvende sig til xHelper. Han havde detaljerede instruktioner. Collier anbefalede først og fremmest at installere den gratis Malwarebytes til Android.

Han sagde, at han skulle installere en filhåndtering fra Google PLAY, der havde evnen til at søge i filer og mapper. Amelia brugte File Manager af ASTRO. Collier sagde at de skulle deaktivere Google PLAY midlertidigt, for at stoppe geninfektion. Flere instruktioner fulgt på listen.

Collier afsluttede med at tage sine læsere ind i det større billede:vi er måske gået ind i en ny æra inden for mobil malware. "Evnen til at geninficere ved hjælp af en skjult mappe, der indeholder en APK, der kan undgå registrering, er både skræmmende og frustrerende. Vi vil fortsætte med at analysere denne malware bag kulisserne. I mellemtiden, vi håber, at dette i det mindste afslutter kapitlet i denne særlige variant af xHelper."

Kat Ellis, TechRadar :"Hvis du begynder at se nye app- og meddelelsesikoner, som du ikke genkender, der er en chance for, at din telefon er blevet inficeret med denne type malware, selvom det ikke altid er indlysende; malware er ofte forklædt som legitime systemapplikationer, og ikonerne kan gemmes væk."

© 2020 Science X Network