Τρίτη, 26 Μαΐου, 04:05
Αρχική security XHelper malware: επανεγκαθίσταται μετά την επαναφορά εργοστασιακών ρυθμίσεων

XHelper malware: επανεγκαθίσταται μετά την επαναφορά εργοστασιακών ρυθμίσεων

XHelper

Το κακόβουλο λογισμικό XHelper, το οποίο επηρεάζει συσκευές που χρησιμοποιούν το λειτουργικό σύστημα Android, ανακαλύφθηκε για πρώτη φορά τον Οκτώβριο του 2019.

Το XHelper είναι ιδιαίτερα επίμονο, αφού μόλις εγκατασταθεί στη συσκευή, παραμένει ενεργό ακόμα και αν ο χρήστης το διαγράψει και κάνει επαναφορά εργοστασιακών ρυθμίσεων.

Android XHelper Malware

Οι κακόβουλοι παράγοντες παρουσίασαν το XHelper malware ως εφαρμογή καθαρισμού και επιτάχυνσης της συσκευής. Ωστόσο καμιά τέτοια λειτουργία δεν διαθέτει.

Μόλις εγκατασταθεί η εφαρμογή XHelper στην συσκευή ενός θύματος, απλά εξαφανίζεται από την κύρια οθόνη ή από το μενού εφαρμογών.

Στη συνέχεια, ένας server που ελέγχεται από τον εισβολέα, κατεβάζει το δεύτερο κακόβουλο στοιχείο, το “Trojan-Dropper.AndroidOS.Agent.of” το οποίο αποκρυπτογραφεί το payload χρησιμοποιώντας τo native library.

Το επόμενο dropper είναι το “Trojan-Dropper.AndroidOS.Helper.b”, το οποίο εκκινεί το “Trojan-Downloader.AndroidOS.Leech.p” για περαιτέρω μόλυνση.

To Leech.p κάνει λήψη του “HEUR: Trojan.AndroidOS.Triada.dd”, το οποίο εκμεταλλεύεται ευπάθειες για την κλιμάκωση προνομίων στη συσκευή του θύματος.

“Τα κακόβουλα αρχεία αποθηκεύονται διαδοχικά στο φάκελο δεδομένων της εφαρμογής, στον οποίο δεν έχουν πρόσβαση άλλα προγράμματα. Αυτό επιτρέπει στους δημιουργούς κακόβουλου λογισμικού να αποκρύψουν το ίχνος και να χρησιμοποιήσουν κακόβουλες λειτουργικές μονάδες που είναι γνωστές στις λύσεις ασφαλείας”, αναφέρει η Kaspersky.

Το κακόβουλο λογισμικό XHelper προσθέτει έναν αριθμό αρχείων στον φάκελο / system / bin και προσθέτει αιτήματα για να εγκαταστήσει το recovery.sh που κάνει το Triada.dd να τρέξει κατά την εκκίνηση του συστήματος.

Κάποιοι χρήστες δήλωσαν ότι απενεργοποίησαν τη δραστηριότητα του XHelper απενεργοποιώντας τα δικαιώματα και κλειδώνοντάς τα χρησιμοποιώντας λογισμικό κλειδώματος εφαρμογών. Κάποιοι άλλοι δήλωσαν ότι “προσπάθησαν να αρνηθούν τα δικαιώματα στο XHelper χωρίς να καταργήσουν την εγκατάσταση, αλλά ενεργοποίησε και πάλι όλα τα δικαιώματα”.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Bill Gates: Νέα θεωρία συνωμοσίας για το εμβόλιο του COVID-19

Νέα θεωρία συνωμοσίας θέλει τον Bill Gates να σχεδιάζει να χρησιμοποιήσει το εμβόλιο, που θα κατασκευαστεί για την καταπολέμηση του COVID-19, για...

Power Glove: Μετατράπηκε σε χειριστήριο modular synth!

Power Glove: μετατράπηκε σε χειριστήριο modular synth: O Sam Battle, βρήκε τον τρόπο να μετατρέψει το γάντι της Nintendo, σε «τηλεχειριστήριο» μουσικής,...

PowerToys: Κυκλοφόρησε η έκδοση 0.18 με δύο νέα εργαλεία

Στο συνέδριο Microsoft Build 2020, η Microsoft ανακοίνωσε τα PowerToys 0.18, τα οποία περιέχουν δύο νέα εργαλεία,...

Mozilla, Twitter και Reddit: Απαραίτητη η προστασία του ιστορικού αναζήτησης και περιήγησης των χρηστών

Μια ομάδα επτά εταιρειών Internet δεσμεύεται να υπερασπιστεί το απόρρητο των χρηστών της αυτή την εβδομάδα, όταν η Βουλή των Αντιπροσώπων των...

Το eBay port σαρώνει τα PC για προγράμματα remote access

Όταν επισκέπτεστε τον ιστότοπο eBay.com, θα τρέχει ένα script που εκτελεί σάρωση τοπικής θύρας του υπολογιστή σας για να εντοπίσει εφαρμογές απομακρυσμένης...

Παραβίαση σε τράπεζα οδήγησε σε διαρροή στοιχείων καρτών πελατών

Οι hackers πίσω από το Maze ransomware δημοσίευσαν δεδομένα καρτών πληρωμής που έκλεψαν από την Τράπεζα της...

Κυκλοφόρησε νέο Unc0ver jailbreak: Επηρεάζει την έκδοση iOS 13.5!

Μια ομάδα από hackers, ερευνητές ασφαλείας και μηχανικούς, η Unc0ver, κυκλοφόρησε ένα νέο jailbreak package για iOS...

Hacker πουλά τις βάσεις δεδομένων των Ledger, Trezor και KeepKey

Ο hacker που παραβίασε το φόρουμ Ethereum.org φέρεται να πουλά τις βάσεις δεδομένων για τα τρία πιο δημοφιλή hard wallets κρυπτογράφησης -...

Πλατφόρμα εκπαίδευσης EduCBA: Επαναφέραμε τα password σας

Ο διαδικτυακός ιστότοπος εκπαίδευσης EduCBA άρχισε να ενημερώνει τους πελάτες ότι επανέφεραν τους κωδικούς πρόσβασης μετά από παραβίαση δεδομένων.

Επιχειρήσεις: “Work From Home” ή “Work From Anywhere”;

Στην εποχή μας, στα περισσότερα επαγγέλματα οι εργαζόμενοι περνούν το μεγαλύτερο μέρος του χρόνου τους σε ένα γραφείο, μπροστά από έναν υπολογιστή....