چگونه بدافزار xHelper اندروید را حذف کنیم؟ارسال شده توسط در ۲۲ فروردین ۱۳۹۹

بدافزار xhelper

xHelper را به خاطر دارید؟

یک قطعه کد مرموز از بدافزار اندرویدی xHelper که حتی پس از تنظیم مجدد دستگاههای کاربران آلوده، به تنظیمات کارخانه، حذف آن تقریبا غیرممکن است. بر اساس گزارشات، بدافزار xHelper سال گذشته بیش از 45000 دستگاه را آلوده کرده است و از زمان پیدایش آن، محققان امنیت سایبری سعی در آشکار کردن چگونگی بقای این بدافزار با تنظیم مجدد کارخانه و چگونگی ابتلای دستگاهها به این بدافزار را دارند.

 

بدافزار xhelper

 

در پستی که چند روز پیش منتشر شد، ایگور گلووین، تحلیلگر بدافزار کاسپرسکی، سرانجام از جزئیات فنی استفاده شده در مکانیزم ماندگاری توسط این بدافزار پرده برداری کرد و در نهایت موفق به حل این معما شد که چگونه می توان xHelper را از دستگاه آلوده به طور کامل حذف کرد.

 

آمار های اولیه از وکتور حمله و توزیع این بدافزار، داده هایی را بدست می دهد که xHelper خود را به عنوان برنامه cleaner محبوب و بهینه سازی سرعت تلفن های هوشمند مبدل می کند. اما در اصل، این بدافزار هیچ کار مفیدی انجام نمی دهد. بعد از نصب cleaner، بدافزار از دستگاه کاربر مخفی شده و در صفحه اصلی یا در منوی برنامه مشاهده نمی شود. فقط با بررسی لیست برنامه های نصب شده در تنظیمات سیستم، می توانید آن را مشاهده کنید. بیشترین کاربران آلوده به این بدافزار در کشور روسیه (80.56٪)، هند (3.43٪) و الجزایر با (2.43٪) تحت تأثیر این حمله قرار گرفته اند.

 

بدافزار پس از نصب به عنوان یک برنامه کاربردی و غیر مشکوک، خود را به عنوان سرویس پس زمینه ثبت می کند و سپس یک payload رمزگذاری شده را تزریق می کند که اطلاعات هویت دستگاه قربانی را جمع آوری و به سرور Remote Attacker ارسال می کند.

بدافزار xhelper

در قدم بعدی، برنامه مخرب مجموعه ای از اکسپلویت های ریشه اندروید و کدهای مخرب رمزگذاری شده را اجرا می کند و تلاش می کند دسترسی کاربر Root به سیستم عامل دستگاه را بدست بگیرد. به طور عمده این بدافزار می تواند به دستگاههایی که از نسخه های 6 و 7 اندروید تولید کنندگان چینی استفاده می کنند (از جمله ODM)، دسترسی Root بدست آورد.

 

این بدافزار بی سرو صدا روی دستگاه قرار می گیرد و منتظر دستورات مهاجمان می ماند. طبق تحلیل های قبلی این بدافزار توسط محققان Symantec، برای جلوگیری از کشف ارتباطات خود از تکنیک SSL certificate pinning استفاده می کند. این بدافزار دارای یک Backdoor با قابلیت اجرای دستورات به عنوان superuser است. این امکان دسترسی کامل مهاجم به کلیه داده های برنامه های دیگر را فراهم می کند و می تواند توسط سایر بدافزارها، به عنوان مثال، CookieThief نیز استفاده شود.

 

اگر این حمله بطور موفقیت آمیز انجام شده باشد، برنامه مخرب با استفاده از دسترسی کاربر Root، فایلهای بسته مخرب xHelper را بصورت مخفیانه در مسیر پارتیشن سیستم (/system/bin folder)، کپی می کند. به کلیه فایلهای موجود در پوشه هدف، ویژگی غیرقابل تغییر (immutable attribute)، اختصاص می یابد، که حذف نرم افزارهای مخرب را دشوار می کند زیرا این سیستم حتی به superuser نیز اجازه حذف پرونده های با این ویژگی را نمی دهد.

 

نکته جالب تر این است که، اگرچه یک برنامه امنیتی یا کاربر آلوده، به ساده ترین روش می تواند با حذف دائمی پرونده بدافزار، دوباره پارتیشن سیستم را نصب کند، اما xHelper برای جلوگیری کاربر آلوده از نصب مجدد پارتیشن سیستم در حالت write mode، کتابخانه (libc.so) را هم دستکاری می کند. مهمتر از آن، این Trojan چندین برنامه مخرب را بارگیری و نصب می کند و دیگر برنامه های کنترل دسترسی ریشه مانند Superuser را هم حذف می کند. طبق گفته کسپرسکی، با جایگزین کردن کتابخانه اصلاح شده از سیستم عامل اصلی برای تلفن هوشمند اندرویدی، می توانید مجدداً پارتیشن سیستم را در حالت write mode فعال کنید تا بدافزار xHelper را حذف کنید.

 

با این حال، به کاربران آسیب دیده توصیه می شود برای خلاص شدن از شر بدافزار، به جای پیروی از این روش فنی و سخت، سیستم آلوده خود را با یک کپی تازه از ROM Android که از وب سایت رسمی فروشندگان بارگیری شده و یا با نصب نسخه متفاوت اما سازگار، مجدداً فلش کنند.

 

 

 

 

منبع: ٰthehackernews.com

اخبار

xHelperبدافزاربدافزار اندروید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یک + هجده =