Ερευνητές ανακάλυψαν ένα κακόβουλο λογισμικό για Android που ονομάζεται xHelper και έχει τη δυνατότητα επανεγκατάστασης μετά την κατάργηση του από μια μολυσμένη συσκευή Android.

Μόλις αφαιρεθεί το xHelper από τις συσκευές, μέσα σε μια ώρα, οι παραλλαγές του Trojan εγκαθίστανται ξανά.

Έχουμε αναφέρει το ίδιο Android Trojan xHelper πέρσι τον Οκτώβριο όταν μόλυνε 45k Android χρήστες με παρόμοιες δυνατότητες.

Οι ερευνητές υποψιάστηκαν ότι η μόλυνση οφείλεται στο ήδη εγκατεστημένο κακόβουλο λογισμικό, επομένως έτρεξαν εντολές Αndroid Debug Bridge (adb) στη μολυσμένη συσκευή.

Χωρίς κάποιο αποτέλεσμα, το κακόβουλο λογισμικό συνεχίζει να υπάρχει στη συσκευή ακόμα και μετά την εξέταση του system updater.

Ανακάλυψη του μέσου επανεγκατάστασης του xHelper

Μετά από μια μεγάλη διάρκεια δοκιμών στις Android συσκευές που έχουν μολυνθεί ξανά από το xHelper, οι ερευνητές τελικά εντόπισαν ότι το μέσο μόλυνσης είναι το Google Play.

Όταν απενεργοποίησαν το Google Play, τότε η μόλυνση από το κακόβουλο λογισμικό σταμάτησε. Υποψιάστηκαν, επίσης, ότι το Google Play δεν είχε μολυνθεί αλλά κάτι στο Google Play προκαλούσε την εκ νέου μόλυνση – ίσως κάτι που ήταν αποθηκευμένο.

Οι hackers χρησιμοποιούσαν το Google Play ως ‘Smokescreen’, αλλά στην πραγματικότητα το xHelper

έκανε εγκατάσταση από αλλού, και έτσι άρχισαν να ψάχνουν κάτι το οποίο ξεκινούσε με com.mufc.

Τελικά, εντόπισαν σημείο στο local File explorer με όνομα com.mufc.umbtts στο οποίο υπήρχε ακόμα ένα Android application package (APK).

Το APK ήταν στην πραγματικότητα ένα Trojan dropper που στη συνέχεια ονομάστηκε Android / Trojan.Dropper.xHelper.VRW. Αυτό ήταν υπεύθυνο για την εμφάνιση μιας παραλλαγής του xHelper, η οποία στη συνέχεια εμφάνιζε και άλλα malware σε λίγα δευτερόλεπτα.

Επειδή δεν υπάρχει κανένα σημάδι που να αποδεικνύει ότι το Trojan.Dropper.xHelper.VRW είναι εγκατεστημένο, οι ερευνητές πιστεύουν ότι είχε τη δυνατότητα να αποφύγει την ανίχνευση, με αποτέλεσμα να τρέξει και να σβηστεί μέσα σε λίγα δευτερόλεπτα.

Αυτό μας θυμίζει ότι τα αρχεία μπορούν να μείνουν στη συσκευή ακόμα και μετά την επαναφορά των εργοστασιακών ρυθμίσεων.

Επομένως, υπάρχουν μεγάλες πιθανότητες μια συσκευή να συνεχίσει να μολύνεται μέχρι να καταργηθούν τα αρχεία.

Κάποιοι χρήστες δήλωσαν ότι σταμάτησαν το xHelper απενεργοποιώντας τα δικαιώματα του και κλειδώνοντας τα με λογισμικό. Κάποιοι άλλοι δήλωσαν ότι απενεργοποίησαν τα δικαιώματα του, αλλά αυτό τα ενεργοποίησε πάλι.