Viene chiamato cattivo—oh, la reinfezione di tutto - e subdolo per una buona ragione:è tutto questo, noto agli osservatori del mal di testa come xHelper, che si rivela essere di alcun aiuto una volta infettato. Il malware xHelper è stato identificato come un dropper di trojan.

Un contagocce di troia? Installa APK dannosi sul tuo telefono a tua insaputa o autorizzazione, disse TechRadar .

Nathan Collier, analista di malware, Malwarebytes, una società che come suggerisce il nome è nel business della sicurezza informatica, conosce in prima persona questo contagocce di malware e il suo uso persistente di tattiche di reinfezione.

Android Trojan xHelper è quanto è brutto? Collier ha scritto che "Questa è di gran lunga l'infezione più brutta che ho riscontrato come ricercatore di malware mobile". Il suo lavoro lo ha sempre portato a credere che, anche se l'ultima opzione, un reset di fabbrica potrebbe risolvere anche la peggiore infezione.

Non questa volta.

In realtà, disse Collier, la società lo sapeva nel 2019. Alla fine, segnalato Dan Goodin in Ars Tecnica , Malwarebytes avrebbe appreso attraverso il rilevamento dell'app antivirus Android che xHelper era su 33, 000 dispositivi "per lo più situati negli Stati Uniti, rendendo il malware una delle principali minacce per Android."

Considera il rapporto di Symantec di ottobre 2019.

"Symantec ha osservato un aumento dei rilevamenti per un'applicazione Android dannosa che può nascondersi agli utenti, scaricare app dannose aggiuntive, e visualizzare annunci pubblicitari."

Symantec ha inchiodato la sua capacità di reinstallarsi anche dopo che gli utenti l'hanno disinstallato. Symantec ha affermato che è stato progettato per rimanere nascosto. Non sarebbe apparso sul programma di avvio del sistema.

"L'app ha infettato oltre 45 persone, 000 dispositivi negli ultimi sei mesi." All'inizio, il codice del malware era relativamente semplice, ma nel tempo il codice è cambiato. "Inizialmente, la capacità del malware di connettersi a un server C&C è stata scritta direttamente nel malware stesso, ma in seguito questa funzionalità è stata spostata su un payload crittografato, nel tentativo di eludere il rilevamento della firma. Alcune varianti precedenti includevano classi vuote che non erano state implementate all'epoca, ma la funzionalità è ora completamente abilitata. Come descritto in precedenza, La funzionalità di Xhelper si è espansa drasticamente negli ultimi tempi."

Entro novembre 2019, Bruce Schneier in Viale della sicurezza sapeva che non era facile cercare di individuare il colpevole. "È uno strano malware, " ha osservato. "Quel livello di persistenza parla a un attore di stato-nazione. La continua evoluzione del malware implica un attore organizzato. Ma l'invio di annunci indesiderati è troppo rumoroso per un uso serio. E il meccanismo di infezione è piuttosto casuale. Semplicemente non lo so."

Nel frattempo, Collier ha portato i suoi lettori fino ai tempi recenti, quando "un utente esperto di tecnologia ci ha contattato all'inizio di gennaio 2020 sul forum di supporto di Malwarebytes:'Ho un telefono infetto dal virus xhelper. Questo dolore tenace continua a tornare.'"

Ancora, la cattiveria risiedeva nella sua persistenza. Collier ha riferito che "Malwarebytes per Android aveva già rimosso con successo due varianti di xHelper e un agente Trojan dal suo dispositivo mobile. Il problema era, continuava a tornare entro un'ora dalla rimozione. xHelper ha reinfettato più e più volte."

Collier ha affermato che questo aspetto di xHelper si distingue per lui perché non riusciva a ricordare un momento in cui un'infezione persisteva dopo un ripristino delle impostazioni di fabbrica a meno che il dispositivo non fosse dotato di malware preinstallato.

A differenza delle app, le directory e i file rimangono sul dispositivo mobile Android anche dopo un ripristino dei dati di fabbrica. Perciò, fino a quando le directory e i file non vengono rimossi, il dispositivo continuerà a essere infettato. "Per fortuna, Ho avuto l'aiuto di Amelia, che è stato persistente quanto xHelper stesso nel trovare una risposta e guidarci alla nostra conclusione."

Il colpevole? Nel 2020, Collier ha fatto qualche progresso. Ha indagato e questo è quello che ha trovato. "Nascosto all'interno di una directory denominata com.mufc.umbtts c'era un altro pacchetto di applicazioni Android (APK). L'APK in questione era un trojan dropper che abbiamo prontamente chiamato Android/Trojan.Dropper.xHelper.VRW. È responsabile dell'eliminazione di una variante di xAiuto, che successivamente rilascia più malware in pochi secondi."

Altro mistero si diffonde:da nessuna parte sul dispositivo sembrava che fosse installato Trojan.Dropper.xHelper.VRW. "Crediamo che sia installato, corso, e disinstallato di nuovo in pochi secondi per eludere il rilevamento, il tutto da qualcosa attivato da Google PLAY. Il 'come' dietro questo è ancora sconosciuto".

Fortunatamente, Collier ha scritto sui passaggi da seguire, per rivolgersi a xHelper. Aveva istruzioni dettagliate. Collier consigliava prima di tutto di installare il Malwarebytes gratuito per Android.

Ha detto di installare un file manager di Google PLAY che avesse la capacità di cercare file e directory. Amelia ha utilizzato File Manager di ASTRO. Collier ha detto di disabilitare temporaneamente Google PLAY, per fermare la reinfezione. Altre istruzioni seguite nell'elenco.

Collier ha concluso portando i suoi lettori nel quadro più ampio:potremmo essere entrati in una nuova era nel malware mobile. "La capacità di reinfettare utilizzando una directory nascosta contenente un APK che può eludere il rilevamento è sia spaventosa che frustrante. Continueremo ad analizzare questo malware dietro le quinte. Nel frattempo, speriamo che questo almeno concluda il capitolo di questa particolare variante di xHelper."

Gatto Ellis, TechRadar :"Se inizi a vedere nuove app e icone di notifica che non riconosci, c'è la possibilità che il tuo telefono sia stato infettato da questo tipo di malware, sebbene non sia sempre ovvio; il malware è spesso mascherato da applicazioni di sistema legittime, e le icone possono essere nascoste."

© 2020 Scienza X Rete