بدافزار اندرویدی XHelper که حتی پس از بازگشت تنظیمات دستگاه به حالت کارخانه، مجددأ خودش را بر روی دستگاه قربانی نصب میکند!
بدافزار اندروید XHelper، برای اولین بار در اکتبر سال ۲۰۱۹ شناسایی شد، این بدافزار ماندگاری بالایی در تلفنهای هوشمند داشته و به همین دلیل نیز شناخته شده میباشد. پس از نصب این بدافزار، حتی اگر کاربر آن را از دستگاه خود حذف کند و یا تنظیمات دستگاه را به حالت کارخانه برگرداند، این بدافزار همچنان فعال میباشد!
XHelper به عنوان ابزاری جهت آزاد نمودن حافظهی تلفنهای هوشمند و به تبع آن افزایش سرعت عملکرد دستگاه، در میان کاربران محبوبیت دارد ولی این در حالیست که در واقع هیچ یک از این قابلیتها را ندارد!
این بدافزار پس از نصب بر روی دستگاه، از صفحه اصلی یا از فهرست برنامه ناپدید می شود.
براساس مطالعات Kaspersky، پیلودِ تروجانِ پنهان شده در فایل /assets/firehelper.jar، اطلاعات مربوط به دستگاه قربانی مانند (android_id، شرکت سازنده ، مدل دستگاه، نسخه سیستمعامل و غیره) را به سرور مهاجم ارسال میکند.
از سرور مهاجم، دومین ماژول مخرب “Trojan-Dropper.AndroidOS.Agent.of” بارگذاری شده تا پیلود مذکور، توسط کتابخانهی محلی، رمزگشایی شود.
Dropper دیگر، “Trojan-Dropper.AndroidOS.Helper.b“ است که “Trojan-Downloader.AndroidOS.Leech.p” را جهت تخریب هرچه بیشتر دستگاه قربانی، راهاندازی میکند.
Leech.p اکثرأ “HEUR:Trojan.AndroidOS.Triada.dd” را بارگذاری میکند تا با اکسپلویت آن، سطح دسترسی خود را در دستگاه قربانی ارتقاء دهد.
بر اساس پست منشتر شده از Kaspersky : " فایلهای مخرب به طور متوالی و به صورت یک دنباله در پوشهی دادهی برنامه، ذخیره میشوند تا برنامههای دیگر به آنها دسترسی نداشته باشند. این مدل که به سبک ماتریوشکا (تو در تو) طراحی شده، به طرحان بدافزار اجازه میدهد تا دنباله را گم کرده و از ماژولهای مخرب که به راه حلهای امنیتی مشهور هستند، استفاده کنند."
اگر دستگاه قربانی در حال اجرا نسخههای ۶ و ۷ اندروید است که تولیدکنندهی آن نیز یک شرکت چینی میباشد، XHelper قادر به افزایش سطح دسترسی مهاجم و نصب فایلهای مخرب به طور مستقیم در سیستم است.
این بدافزار تعدادی فایل را به مسیر /system/bin و تماسهایی را به install-recovery.sh اضافه میکند که باعث میشود Triada در هنگام راه اندازی سیستم اجرا شود.
به خاطر داشته باشید که استفاده از تلفن هوشمند آلوده به xHelper بسیار خطرناک بوده و سادهترین روش برای خلاص شدن از شر این بدافزار آن است که دستگاه خود را کاملاً flash کنید.
به گفتهی برخی کاربران، با غیرفعال کردن سطوح دسترسی و قفل کردن آنها با استفاده از اپلیکیشنهایی که جهت قفل کردن برنامهها استفاده میشوند، میتوان مانع از فعالیت Xhelper شد.