Το κακόβουλο λογισμικό XHelper, το οποίο επηρεάζει συσκευές που χρησιμοποιούν το λειτουργικό σύστημα Android, ανακαλύφθηκε για πρώτη φορά τον Οκτώβριο του 2019.
Το XHelper είναι ιδιαίτερα επίμονο, αφού μόλις εγκατασταθεί στη συσκευή, παραμένει ενεργό ακόμα και αν ο χρήστης το διαγράψει και κάνει επαναφορά εργοστασιακών ρυθμίσεων.
Android XHelper Malware
Οι κακόβουλοι παράγοντες παρουσίασαν το XHelper malware ως εφαρμογή καθαρισμού και επιτάχυνσης της συσκευής. Ωστόσο καμιά τέτοια λειτουργία δεν διαθέτει.
Μόλις εγκατασταθεί η εφαρμογή XHelper στην συσκευή ενός θύματος, απλά εξαφανίζεται από την κύρια οθόνη ή από το μενού εφαρμογών.
Στη συνέχεια, ένας server που ελέγχεται από τον εισβολέα, κατεβάζει το δεύτερο κακόβουλο στοιχείο, το “Trojan-Dropper.AndroidOS.Agent.of” το οποίο αποκρυπτογραφεί το payload χρησιμοποιώντας τo native library.
Το επόμενο dropper είναι το “Trojan-Dropper.AndroidOS.Helper.b”, το οποίο εκκινεί το “Trojan-Downloader.AndroidOS.Leech.p” για περαιτέρω μόλυνση.
To Leech.p κάνει λήψη του “HEUR: Trojan.AndroidOS.Triada.dd”, το οποίο εκμεταλλεύεται ευπάθειες για την κλιμάκωση προνομίων στη συσκευή του θύματος.
“Τα κακόβουλα αρχεία αποθηκεύονται διαδοχικά στο φάκελο δεδομένων της εφαρμογής, στον οποίο δεν έχουν πρόσβαση άλλα προγράμματα. Αυτό επιτρέπει στους δημιουργούς κακόβουλου λογισμικού να αποκρύψουν το ίχνος και να χρησιμοποιήσουν κακόβουλες λειτουργικές μονάδες που είναι γνωστές στις λύσεις ασφαλείας”, αναφέρει η Kaspersky.
Το κακόβουλο λογισμικό XHelper προσθέτει έναν αριθμό αρχείων στον φάκελο / system / bin και προσθέτει αιτήματα για να εγκαταστήσει το recovery.sh που κάνει το Triada.dd να τρέξει κατά την εκκίνηση του συστήματος.
Κάποιοι χρήστες δήλωσαν ότι απενεργοποίησαν τη δραστηριότητα του XHelper απενεργοποιώντας τα δικαιώματα και κλειδώνοντάς τα χρησιμοποιώντας λογισμικό κλειδώματος εφαρμογών. Κάποιοι άλλοι δήλωσαν ότι “προσπάθησαν να αρνηθούν τα δικαιώματα στο XHelper χωρίς να καταργήσουν την εγκατάσταση, αλλά ενεργοποίησε και πάλι όλα τα δικαιώματα”.
