بدافزار اندرویدی XHelper که حتی پس از بازگشت تنظیمات دستگاه به حالت کارخانه، مجددأ خودش را بر روی دستگاه قربانی نصب می‌کند!

بدافزار اندروید XHelper، برای اولین بار در اکتبر سال ۲۰۱۹ شناسایی شد، این بدافزار ماندگاری بالایی در تلفن‌های هوشمند داشته و به همین دلیل نیز شناخته شده می‌باشد. پس از نصب این بدافزار، حتی اگر کاربر آن را از دستگاه خود حذف کند و یا تنظیمات دستگاه را به حالت کارخانه  برگرداند، این بدافزار همچنان فعال می‌باشد!

XHelper به عنوان ابزاری جهت آزاد نمودن حافظه‌ی تلفن‌های هوشمند و به تبع آن افزایش سرعت عملکرد دستگاه، در میان کاربران محبوبیت دارد ولی این در حالیست که در واقع هیچ یک از این قابلیت‌ها را ندارد!
این بدافزار پس از نصب بر روی دستگاه، از صفحه اصلی یا از فهرست برنامه ناپدید می شود.
براساس مطالعات Kaspersky، پی‌لودِ تروجانِ پنهان شده در فایل ‎/assets/firehelper.jar، اطلاعات مربوط به دستگاه قربانی مانند (android_id، شرکت سازنده ، مدل دستگاه، نسخه سیستم‌عامل و غیره) را به سرور مهاجم ارسال می‌کند.
از سرور مهاجم، دومین ماژول مخرب “Trojan-Dropper.AndroidOS.Agent.of” بارگذاری شده تا پی‌لود مذکور، توسط کتابخانه‌ی محلی، رمزگشایی شود.
Dropper  دیگر، “Trojan-Dropper.AndroidOS.Helper.b“ است که “Trojan-Downloader.AndroidOS.Leech.p” را جهت تخریب هرچه بیشتر دستگاه قربانی، راه‌ا‌ندازی می‌کند.
Leech.p اکثرأ “HEUR:Trojan.AndroidOS.Triada.dd” را بارگذاری می‌کند تا با اکسپلویت آن، سطح دسترسی خود را در دستگاه قربانی ارتقاء دهد.
بر اساس پست منشتر شده از Kaspersky : " فایل‌های مخرب به طور متوالی و به صورت یک دنباله در پوشه‌ی داده‌ی برنامه، ذخیره می‌شوند تا برنامه‌های دیگر به آن‌ها دسترسی نداشته باشند. این مدل که به سبک ماتریوشکا (تو در تو) طراحی شده، به طرحان بدافزار اجازه می‌دهد تا دنباله را گم کرده و از ماژول‌های مخرب که به راه حل‌های امنیتی مشهور هستند، استفاده کنند."
اگر دستگاه قربانی در حال اجرا نسخه‌های ۶ و ۷ اندروید است که تولیدکننده‌ی آن نیز یک شرکت چینی می‌باشد، XHelper قادر به افزایش سطح دسترسی مهاجم و نصب فایل‌های مخرب به طور مستقیم در سیستم است.
این بدافزار تعدادی فایل را به مسیر ‎/system/bin و تماس‎‌هایی را به install-recovery.sh اضافه می‌کند که باعث می‌شود Triada در هنگام راه اندازی سیستم اجرا شود.
به خاطر داشته باشید که استفاده از تلفن هوشمند آلوده به xHelper بسیار خطرناک بوده و ساده‌ترین روش برای خلاص شدن از شر این بدافزار آن است که دستگاه خود را کاملاً flash کنید.
به گفته‌ی برخی کاربران، با غیرفعال کردن سطوح دسترسی و قفل کردن آن‌ها با استفاده از اپلیکیشن‌هایی که جهت قفل کردن برنامه‌ها استفاده می‌شوند، می‌توان مانع از فعالیت Xhelper شد.

منبع خبر:  https://gbhackers.com/android-xhelper-malware-2