BezpečnosťSpravodajstvo

Kaspersky vysvetľuje, ako sa darí malwaru xHelper úspešne schovávať v Android smartfónoch

xHelper je vskutku veľmi dobre prepracovaný kus softwaru. Bohužiaľ, využívaný je za zlým účelom

xHelper je škodlivý typ softwaru, o ktorom sme mohli prvýkrát počuť ešte v októbri minulého roka. V tom čase infikoval desaťtisíce zariadení, našťastie väčšina z nich bola z mimo nášho regiónu. Spoločnosť Kaspersky v týchto dňoch zverejnila blog, v rámci ktorému sa tomuto škodlivému softwaru venuje o  čosi podrobnejšie.

xHelper_postihnute regione
Zdroj: Kaspersky

Ako xHelper funguje?

Kaspersky vysvetľuje, že tento malware funguje na tom princípe, že sa maskuje za populárne aplikácia, ktoré čistia zariadenia a majú ich zrýchľovať. V skutočnosti však robia presný opak. Po nainštalovaní „zmiznú“ zo zariadenia a nie je ich vidieť v zozname aplikácií. Dohľadať ich je možné len prostredníctvom nastavení smartfónu.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

xHelper sa po nainštalovaní do zariadenia rozbalí do adresára assets/firehelper.jar. Jehou hlavnou úlohou je odosielanie informácií o telefóne obete (android_id, výrobca, model, verzia firmvéru atď.), ktorú odosiela na adresu https: //lp.cooktracking [.] Com / v1 / ls / get. Okrem iného malware stiahne  do zariadenia ďalší škodlivý modul Trojan-Dropper.AndroidOS.Agent.of. Následne sa dešifruje a spustí ďalšie procesy, ktoré spôsobia nainštalovanie ďalších škodlivých kódov, jedným z nich je aj Trojan.AndroidOS.Triada.dd, ktorý dokáže získať prístup ku oprávneniam zariadenia.

Malware, ktorý sa správa ako „matrioška“

Kaspersky píše, že tento malware postupne sťahuje jeden škodlivý modul za druhým, ktorý sa ukladá do zariadenia ako „matrioška“. Táto schéma autorom tohto softwaru umožňuje postupne zakrývať „cestičky“, akým sa malware dostáva hlbšie a hlbšie do smartfónu. Zároveň dodávajú, že xHelper je schopný inštalovať do zariadenia ďalší software a to priamo do systémových oddielov (takzvaných system partition. Ide o časti systému, ktoré obsahujú napríklad spúšťače zariadenia, spúšťače operačného systému a podobne). Spolu s oprávneniami, ktorými tento škodlivý software disponuje, je schopný skopírovať do priečinka /system/bin súbory so špeciálnymi atribútmi, ktoré neumožňujú používateľovi jeho odstránenie, a to ani používateľom s oprávneniami Superuser.

„Volanie do súborov z priečinka xbin sa pridá do súboru install-recovery.sh, čo umožňuje spustenie systému Triada pri štarte systému. Všetkým súborom v cieľových priečinkoch je priradený nemenný atribút, čo sťažuje odstránenie škodlivého softvéru, pretože systém neumožňuje ani superuserom vymazať súbory s týmto atribútom. Tomuto mechanizmu sebaobrany, ktorý používa trójsky kôň, sa však dá čeliť odstránením tohto atribútu pomocou príkazu chattr.“ Píše Kaspersky.

Kaspersky ďalej dáva do pozornosti, že najnebezpečnejšie na tomto škodlivom softwary je to, že  dokáže do zariadenia nainštalovať v podstate hocijaký ďalší software, ktorý jeho tvorcovia pokladajú za dôležitý. Vo všeobecnosti odstránenie tohto škodlivého softwaru je veľmi náročné, a to preto, lebo sa schováva hlboko v systémových súborov, a používateľovi nepomôže  ani továrenské reštartovanie zariadenia.

„Používanie smartfónu infikovaného xHelperom je v každom prípade mimoriadne nebezpečné. Malware inštaluje zadné vrátka s možnosťou spúšťať príkazy ako superužívateľ. Útočníkom poskytuje útočníkom plný prístup ku všetkým údajom o aplikácii a môže ich používať aj iný malware, napríklad CookieThief. “

Via techradar.com

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy
Tagy
Zobraziť komentáre
Close
Close