Está sendo chamado de desagradável - oh, a reinfecção de tudo - e sorrateiro por um bom motivo:é tudo isso, conhecido pelos observadores de dor de cabeça como xHelper, o que não ajuda em nada uma vez infectado. O malware xHelper foi identificado como um trojan dropper.

Um conta-gotas trojan? Ele instala APKs maliciosos no seu telefone sem o seu conhecimento ou permissão, disse TechRadar .

Nathan Collier, analista de malware, Malwarebytes, uma empresa que, como o próprio nome sugere, está no ramo de segurança cibernética, sabe em primeira mão sobre esse criador de malware e seu uso persistente de táticas de reinfecção.

Android Trojan xHelper é o quão desagradável? Collier escreveu que "Esta é de longe a infecção mais desagradável que encontrei como pesquisador de malware móvel." Seu trabalho sempre o levou a acreditar que, embora a última opção, uma redefinição de fábrica pode resolver até mesmo a pior infecção.

Não dessa vez.

Na realidade, disse Collier, a empresa sabia disso em 2019. Eventualmente, relatou Dan Goodin em Ars Technica , Malwarebytes viria a saber através de sua detecção de aplicativo antivírus Android que o xHelper estava em 33, 000 dispositivos "localizados principalmente nos EUA, tornando o malware uma das principais ameaças do Android. "

Considere o relatório da Symantec de outubro de 2019.

"A Symantec observou um aumento nas detecções de um aplicativo Android malicioso que pode se esconder dos usuários, baixar aplicativos maliciosos adicionais, e exibir anúncios. "

A Symantec acertou em cheio sua capacidade de se reinstalar mesmo depois que os usuários o desinstalaram. A Symantec disse que foi projetado para permanecer oculto. Não estaria aparecendo no inicializador do sistema.

"O aplicativo infectou mais de 45, 000 dispositivos nos últimos seis meses. "No início, o código do malware era relativamente simples, mas com o tempo o código mudou. "Inicialmente, a capacidade do malware de se conectar a um servidor C&C foi escrita diretamente no próprio malware, mas posteriormente essa funcionalidade foi movida para uma carga criptografada, em uma tentativa de evitar a detecção de assinatura. Algumas variantes mais antigas incluíam classes vazias que não foram implementadas na época, mas a funcionalidade agora está totalmente ativada. Conforme descrito anteriormente, A funcionalidade do Xhelper se expandiu drasticamente nos últimos tempos. "

Em novembro de 2019, Bruce Schneier em Boulevard de Segurança sabia que não era fácil tentar localizar o culpado. "É um malware estranho, "ele observou." Esse nível de persistência fala a um ator de Estado-nação. A evolução contínua do malware implica um ator organizado. Mas enviar anúncios indesejados é muito barulhento para qualquer uso sério. E o mecanismo de infecção é bastante aleatório. Eu simplesmente não sei. "

Enquanto isso, Collier trouxe seus leitores até tempos recentes, quando "um usuário experiente em tecnologia entrou em contato conosco no início de janeiro de 2020 no fórum de suporte do Malwarebytes:'Eu tenho um telefone que está infectado com o vírus xhelper. Essa dor tenaz continua voltando.'"

Novamente, a maldade residia em sua persistência. Collier relatou que "Malwarebytes para Android já havia removido com sucesso duas variantes do xHelper e um agente Trojan de seu dispositivo móvel. O problema era, ele voltava uma hora após a remoção. xHelper estava se infectando novamente e novamente. "

Collier disse que este aspecto do xHelper se destaca para ele porque ele não conseguia se lembrar de uma época em que uma infecção persistiu após uma redefinição de fábrica, a menos que o dispositivo viesse com malware pré-instalado.

Ao contrário dos aplicativos, diretórios e arquivos permanecem no dispositivo móvel Android, mesmo após uma redefinição de fábrica. Portanto, até que os diretórios e arquivos sejam removidos, o dispositivo continuará sendo infectado. "Felizmente, Eu tive a ajuda de Amelia, que foi tão persistente quanto o próprio xHelper em encontrar uma resposta e nos guiar até a nossa conclusão. "

O culpado? Em 2020, Collier fez algum progresso. Ele investigou e foi isso que ele encontrou. "Escondido em um diretório chamado com.mufc.umbtts estava outro pacote de aplicativo Android (APK). O APK em questão era um Trojan dropper que imediatamente chamamos de Android / Trojan.Dropper.xHelper.VRW. Ele é responsável por eliminar uma variante do xHelper, que subsequentemente descarta mais malware em segundos. "

Mais do mistério surge:em nenhum lugar do dispositivo parecia que o Trojan.Dropper.xHelper.VRW estava instalado. "Acreditamos que foi instalado, correu, e desinstalado novamente em segundos para evitar a detecção - tudo por algo acionado pelo Google PLAY. O 'como' por trás disso ainda é desconhecido. "

Felizmente, Collier escreveu sobre as etapas a seguir, para abordar o xHelper. Ele tinha instruções detalhadas. Collier recomendou antes de tudo a instalação do Malwarebytes gratuito para Android.

Ele disse para instalar um gerenciador de arquivos do Google PLAY que tinha a capacidade de pesquisar arquivos e diretórios. Amelia usou o File Manager da ASTRO. Collier disse para desativar o Google PLAY temporariamente, para impedir a reinfecção. Mais instruções seguidas na lista.

Collier concluiu levando seus leitores a uma visão geral:podemos ter entrado em uma nova era no malware móvel. "A capacidade de reinfectar a infecção usando um diretório oculto contendo um APK que pode escapar da detecção é assustadora e frustrante. Continuaremos analisando esse malware nos bastidores. Enquanto isso, esperamos que pelo menos termine o capítulo desta variante particular do xHelper. "

Cat Ellis, TechRadar :"Se você começar a ver novos ícones de aplicativos e notificações que não reconhece, há uma chance de que seu telefone tenha sido infectado com esse tipo de malware, embora nem sempre seja óbvio; malware costuma ser disfarçado como aplicativos legítimos do sistema, e os ícones podem ser ocultados. "

© 2020 Science X Network