Android xHelper – троянският кон, който отказва да умре

Иновативен е принципът, който подсигурява постоянност (persistence) на зловредният код, тоест той продължава да бъде инсталиран дори и след връщане на фабрични настройки

Последен ъпдейт на 4 май 2020 в 11:57 ч.

Интересно проучване от лабораторията на Kaspersky разкрива как троянският кон (trojan) xHelper за Android остава активен дори след връщане на телефона към фабрични настройки.

Зловредният код се представя като софтуер за почистване и оптимизиране на мобилното устройство и операционната му система (Android), но всъщност в него няма нищо полезно.

Дори след инсталацията на мнимото приложение, потребителя няма да намери нито нова иконка, нито ще се покаже при търсене в менюто. Крайният резултат е заразяване с многофункционален зловреден код от тип Triada, който може да извлича всякакъв тип данни от жертвите си.

Засегнати версии

Основно засегнати устройства се намират в Китай и са със сравнително стари версии на Android – 6 и 7, но се наблюдават инфектирани устройства и в много други държави.

Зловредният код работи на принципа на матрьошка, тоест след инсталиране и стартиране на първоначалният му модул, той сваля, активира и инсталира вторият, който от своя страна има грижата да сглоби и стартира третият и така нататък…

Иновативен е принципът, който подсигурява постоянност (persistence) на зловредният код, тоест той продължава да бъде инсталиран дори и след връщане на фабрични настройки. Това е възможно понеже при първоначалната инфекция, троянецът привежда системният дял /system в режим за четене и писана, който до преди това е бил в режим само за четене.

Как да обърнем похвата в своя полза

Тук идва въпроса – не може ли потребителя да обърне този похват в своя полза и  да изтрие зловредният код от системният дял? Създателите на xHelper са помислили и за това, те модифицират  /system/lib/libc.so, обща библиотека използвана от почти всички изпълними файлове върху устройството, така че потребителят да не може да се „отърве“ от зловредните компоненти.

Единственият начин устройството да бъде изчистено и годно за употреба е операционната му система да бъде префлашната, което често пъти е извън възможностите на обикновените потребители.

Как да се защитите:

Exit mobile version