Троянская пипетка? Он устанавливает вредоносные APK-файлы на ваш телефон без вашего ведома или разрешения, сказал TechRadar .
Натан Коллиер, аналитик вредоносных программ Malwarebytes, компания, которая, как следует из названия, занимается кибербезопасностью, воочию знает об этой вредоносной программе и ее постоянном использовании тактики повторного заражения.
Android-троян xHelper насколько противно? Кольер писал, что «Это самая отвратительная инфекция, с которой я столкнулся как исследователь мобильных вредоносных программ». Его работа всегда заставляла его верить, что, хотя последний вариант, сброс настроек может разрешить даже самую серьезную инфекцию.
Не в этот раз.
На самом деле, сказал Коллиер, компания знала об этом еще в 2019 году. В конце концов, как сообщил Дэн Гудин в Ars Technica , Malwarebytes узнает через свое антивирусное приложение для Android, что xHelper был на 33 000 устройств, в основном расположенных в США, что делает вредоносное ПО одна из главных угроз для Android. "
Рассмотрим отчет Symantec еще в октябре 2019 года.
«В Symantec наблюдается всплеск обнаружения вредоносных приложений для Android, которые могут скрывать себя от пользователей, загружать дополнительные вредоносные приложения и отображать рекламу».
Symantec прибегла к возможности переустановки даже после того, как пользователи удалили его. Symantec сказал, что он был спрятан. Это не будет появляться на панели запуска системы.
«За последние шесть месяцев приложение заразило более 45 000 устройств». В самом начале код вредоносной программы был относительно простым, но со временем код изменился. «Изначально способность вредоносной программы подключаться к серверу C & C была записана непосредственно в самой вредоносной программе, но позже эта функция была перемещена в зашифрованную полезную нагрузку, чтобы избежать обнаружения сигнатур. Некоторые старые варианты включали пустые классы, которые не были реализованы в время, но функциональность теперь полностью включена. Как описано ранее, функциональность Xhelper значительно расширилась в последнее время ".
К ноябрю 2019 года Брюс Шнайер с бульвара безопасности знал, что нелегко попытаться определить виновника. «Это странная вредоносная программа», - отметил он . «Этот уровень настойчивости говорит с субъектом национального государства. Непрерывная эволюция вредоносного ПО подразумевает организованного субъекта. Но отправка нежелательной рекламы слишком шумная для любого серьезного использования. И механизм заражения довольно случайный. Я просто не знать «.
Тем временем Collier довел своих читателей до недавнего времени, когда в начале января 2020 года на форуме поддержки Malwarebytes к нам обратился технически подкованный пользователь: «У меня есть телефон, зараженный вирусом xhelper. Эта цепкая боль только продолжается назад».
Опять же, злобность заключалась в ее настойчивости. Кольер сообщила, что «Malwarebytes для Android уже успешно удалила два варианта xHelper и троянского агента со своего мобильного устройства. Проблема заключалась в том, что он возвращался в течение часа после удаления. XHelper снова заражался снова и снова».
Кольер сказал, что этот аспект xHelper выделяется для него, потому что он не мог вспомнить время, когда инфекция сохранялась после сброса к заводским настройкам, если на устройстве не было предустановленного вредоносного ПО.
В отличие от приложений, каталоги и файлы остаются на мобильном устройстве Android даже после сброса настроек. Поэтому, пока каталоги и файлы не будут удалены, устройство будет продолжать заражаться. «К счастью, мне помогла Амелия, которая так же настойчиво, как и сам xHelper, нашла ответ и подтолкнула нас к нашему заключению».
Виновник? В 2020 году Кольер добился определенных успехов. Он исследовал, и это то, что он нашел. «В каталоге с именем com.mufc.umbtts был спрятан еще один пакет приложений для Android (APK). Данный APK был трояном, который мы быстро назвали Android / Trojan.Dropper.xHelper.VRW. Он отвечает за удаление одного варианта xHelper, который впоследствии удаляет больше вредоносных программ в течение нескольких секунд. "
Еще больше загадок: нигде на устройстве не было установлено, что установлен Trojan.Dropper.xHelper.VRW. «Мы уверены, что он установился, запустился и снова был удален в течение нескольких секунд, чтобы избежать обнаружения - и все это вызвано тем, что вызвано Google PLAY.« Как »за этим все еще неизвестно».
К счастью, Кольер написал о шагах, которым нужно следовать, чтобы обратиться к xHelper. У него были подробные инструкции. Collier в первую очередь рекомендовал установить бесплатные Malwarebytes для Android.
Он сказал установить файловый менеджер из Google PLAY, который имел возможность поиска файлов и каталогов. Амелия использовала Файловый менеджер ASTRO. Кольер сказал временно отключить Google PLAY, чтобы остановить повторное заражение. Дополнительные инструкции следуют в списке .
В заключение Кольер взял своих читателей в более широкую картину: возможно, мы вступили в новую эру в мобильных вредоносных программах. «Возможность повторного заражения с использованием скрытого каталога, содержащего APK, который может уклониться от обнаружения, является пугающей и разочаровывающей. Мы продолжим анализировать эту вредоносную программу за кулисами. Тем временем, мы надеемся, что это, по крайней мере, завершит главу этого конкретного варианта из xHelper. "
