جهش تولید | سه‌شنبه، ۶ خرداد ۱۳۹۹

نصب مجدد بدافزار XHelper حتی پس از بازگشت تنظیماتِ تلفن همراه به حالت کارخانه - نمایش محتوای خبر

 

 

نصب مجدد بدافزار XHelper حتی پس از بازگشت تنظیماتِ تلفن همراه به حالت کارخانه

بدافزار اندرویدی XHelper برای اولین بار در اکتبر ۲۰۱۹ شناسایی شد، به دلیل قابلیت‌های مداوم شناخته شده است. پس از نصب روی دستگاه، این بدافزار حتی پس از حذف کاربر آن و بازگرداندن تنظیمات کارخانه، همچنان فعال می‌ماند.

 

بدافزار xhelper توسط کاربران به عنوان یک برنامه تمیزکننده و سرعت‌بخش محبوب برای تلفن‌های هوشمند محسوب می‌گردد، اما این برنامه هیچ عملکرد پاک‌کننده یا سرعت بخشی ندارد.

هنگامی که این برنامه برروی تلفن همراه نصب شود، به سادگی از صفحه اصلی یا از فهرست برنامه‌ها ناپدید می‌شود.

براساس مطالعات Kaspersky، پی‌لودِ تروجانِ پنهان شده در فایل ‎‎/assets/firehelper.jar، اطلاعات مربوط به دستگاه قربانی مانند android_id، (شرکت سازنده ، مدل دستگاه، نسخه سیستم‌عامل و غیره) را به سرور مهاجم ارسال می‌کند.

از روی سرور مهاجم، دومین ماژول مخرب "Trojan-Dropper.AndroidOS.Agent.of" را بارگیری می‌کند که بار را با استفاده از کتابخانه بومی رمزگشایی می‌کند.

Dropper بعدی "Trojan-Dropper.AndroidOS.Helper.b" است که "Trojan-Downloader.AndroidOS.Leech.p" را برای آلودگی بیشتر راه‌اندازی می‌کند.

Leech.p در ادامه "HEUR: Trojan.AndroidOS.Triada.dd" را بارگیری می‌کند که از سوء استفاده برای افزایش امتیازات در دستگاه قربانی استفاده می‌کند.

"پرونده‌های مخرب به طور متوالی در پوشه داده برنامه ذخیره می‌شوند، که برنامه‌های دیگر به آنها دسترسی ندارند. این طرح به سبک matryoshka به نویسندگان بدافزار اجازه می‌دهد تا دنباله را گمنام کرده و از ماژول‌های مخرب که به راه حل‌های امنیتی مشهور هستند، استفاده کنند. "

این بدافزار تعدادی پرونده را به پوشه ‎/ system ‎/ bin اضافه می‌کند و تماس‌هایی را به install-recovery.sh اضافه می‌کند که باعث می‌شود Triada در هنگام راه‌اندازی سیستم اجرا شود.

ساده‌ترین روش برای پاک کردن کامل این بدافزار آن است که دستگاه خود را کاملاً flash کنید، استفاده از تلفن هوشمند آلوده به xHelper بسیار خطرناک است.

برخی از کاربران گفتند که با خاموش کردن مجوزها و قفل کردن آنها با استفاده از نرم‌افزار قفل برنامه، فعالیت Xhelper را قطع نمودند.