Het wordt smerig genoemd - oh, de herinfectie van dit alles - en stiekem om een ​​​​goede reden:het is dat allemaal, bekend bij hoofdpijn-watchers als xHelper, dat blijkt helemaal niets te helpen als het eenmaal besmet is. De malware xHelper werd geïdentificeerd als een trojan-dropper.

Een trojan-dropper? Het installeert kwaadaardige APK's op uw telefoon zonder uw medeweten of toestemming, zei TechRadar .

Nathan Collier, malware-analist, Malwarebytes, een bedrijf dat, zoals de naam al doet vermoeden, zich bezighoudt met cyberbeveiliging, kent uit de eerste hand over deze malware-dropper en het aanhoudende gebruik van herinfectietactieken.

Android Trojan xHelper is hoe smerig? Collier schreef:"Dit is verreweg de smerigste infectie die ik ben tegengekomen als onderzoeker van mobiele malware." Zijn werk deed hem altijd geloven dat, hoewel de laatste optie, een fabrieksreset kan zelfs de ergste infectie oplossen.

Niet deze keer.

Werkelijk, zei Collier, het bedrijf wist hiervan al in 2019. Uiteindelijk meldde Dan Goodin in Ars Technica , Malwarebytes zou via zijn Android-antivirus-app-detectie komen te weten dat xHelper op 33 stond, 000 apparaten "meestal in de VS, waardoor de malware een van de belangrijkste Android-bedreigingen is."

Kijk eens naar het rapport van Symantec uit oktober 2019.

"Symantec heeft een toename waargenomen in detecties voor een kwaadaardige Android-applicatie die zichzelf kan verbergen voor gebruikers, extra kwaadaardige apps downloaden, en advertenties weergeven."

Symantec slaagde erin zichzelf opnieuw te installeren, zelfs nadat gebruikers het hebben verwijderd. Symantec zei dat het is ontworpen om verborgen te blijven. Het zou niet verschijnen op de launcher van het systeem.

"De app heeft meer dan 45 besmet, 000 apparaten in de afgelopen zes maanden." de code van de malware was relatief eenvoudig, maar na verloop van tijd veranderde de code. "In eerste instantie het vermogen van de malware om verbinding te maken met een C&C-server is rechtstreeks in de malware zelf geschreven, maar later werd deze functionaliteit verplaatst naar een versleutelde payload, in een poging om handtekeningdetectie te omzeilen. Sommige oudere varianten bevatten lege klassen die op dat moment niet waren geïmplementeerd, maar de functionaliteit is nu volledig ingeschakeld. Zoals eerder beschreven, De functionaliteit van Xhelper is de afgelopen tijd drastisch uitgebreid."

Tegen november 2019, Bruce Schneier in Beveiligingsboulevard wist dat het niet gemakkelijk was om de dader te vinden. "Het is een raar stukje malware, " merkte hij op. "Dat niveau van volharding spreekt tot een natiestaat. De continue evolutie van de malware impliceert een georganiseerde actor. Maar het verzenden van ongewenste advertenties is veel te lawaaierig voor serieus gebruik. En het infectiemechanisme is vrij willekeurig. Ik weet het gewoon niet."

In de tussentijd, Collier bracht zijn lezers tot recente tijden, toen "een technisch onderlegde gebruiker begin januari 2020 contact met ons opnam op het Malwarebytes-ondersteuningsforum:'Ik heb een telefoon die is geïnfecteerd met het xhelper-virus. Deze hardnekkige pijn blijft maar terugkomen.'"

Opnieuw, de misselijkheid zat in zijn volharding. Collier meldde dat "Malwarebytes voor Android al met succes twee varianten van xHelper en een Trojan-agent van haar mobiele apparaat had verwijderd. Het probleem was, het bleef terugkomen binnen een uur na verwijdering. xHelper infecteerde steeds opnieuw."

Collier zei dat dit aspect van de xHelper hem opviel omdat hij zich geen tijd kon herinneren dat een infectie aanhield na een fabrieksreset, tenzij het apparaat werd geleverd met vooraf geïnstalleerde malware.

In tegenstelling tot apps, mappen en bestanden blijven op het mobiele Android-apparaat staan, zelfs na een fabrieksreset. Daarom, totdat de mappen en bestanden zijn verwijderd, het apparaat blijft geïnfecteerd raken. "Gelukkig, Ik had Amelia's hulp, die net zo volhardend was als xHelper zelf om een ​​antwoord te vinden en ons naar onze conclusie te leiden."

De boosdoener? in 2020, Collier heeft enige vooruitgang geboekt. Hij onderzocht en dit is wat hij vond. "Verborgen in een map met de naam com.mufc.umbtts was nog een ander Android-applicatiepakket (APK). De APK in kwestie was een Trojan-dropper die we prompt Android/Trojan.Dropper.xHelper.VRW noemden. Het is verantwoordelijk voor het laten vallen van één variant van xHelper, die vervolgens binnen enkele seconden meer malware dropt."

Meer mysterie duikt op:Nergens op het apparaat leek het erop dat Trojan.Dropper.xHelper.VRW was geïnstalleerd. "Het is onze overtuiging dat het geïnstalleerd, rende, en binnen enkele seconden weer verwijderd om detectie te ontwijken, allemaal door iets dat door Google PLAY wordt geactiveerd. Het 'hoe' hierachter is nog onbekend."

Gelukkig, Collier schreef over te volgen stappen, om xHelper aan te spreken. Hij had gedetailleerde instructies. Collier raadde allereerst aan om de gratis Malwarebytes voor Android te installeren.

Hij zei dat hij een bestandsbeheerder van Google PLAY moest installeren die de mogelijkheid had om bestanden en mappen te doorzoeken. Amelia gebruikte File Manager van ASTRO. Collier zei Google PLAY tijdelijk uit te schakelen, om herinfectie te stoppen. Meer instructies volgden in de lijst.

Collier besloot door zijn lezers mee te nemen naar het grotere geheel:we zijn mogelijk een nieuw tijdperk in mobiele malware binnengetreden. "De mogelijkheid om opnieuw te infecteren met behulp van een verborgen map met een APK die detectie kan omzeilen, is zowel angstaanjagend als frustrerend. We zullen deze malware achter de schermen blijven analyseren. we hopen dat dit in ieder geval het hoofdstuk van deze specifieke variant van xHelper beëindigt."

Kat Ellis, TechRadar :"Als u nieuwe app- en meldingspictogrammen begint te zien die u niet herkent, de kans bestaat dat uw telefoon is geïnfecteerd met dit type malware, hoewel het niet altijd duidelijk is; malware wordt vaak vermomd als legitieme systeemapplicaties, en de pictogrammen kunnen worden verborgen."

© 2020 Wetenschap X Netwerk