xHelper to malware atakujący urządzenia z Androidem, który zasłynął tym, że był w stanie przetrwać przywrócenie systemu do ustawień fabrycznych. Analitycy bardzo długo nie wiedzieli jak mu się to udaje.
xHelper pojawił się pod koniec 2019 roku. W październiku informowaliśmy, że paskudny malware zaraził 45 tys. urządzeń i wcale nie zakończył wtedy działalności. To wyjątkowe zagrożenie jest w stanie przetrwać przywrócenie smartfonu do ustawień fabrycznych. Mechanizm jego działania pozostawał tajemnicą przez kilka miesięcy.
Zobacz: xHelper, złośliwe oprogramowanie dla Androida, atakuje nawet po fabrycznym resecie. Już 45 tys. urządzeń padło jego ofiarą
Zobacz: Paskudny wirus na Androida. Nie usuniesz go nawet robiąc "factory reset"
Usunięcie xHelpera okazało się zadaniem nietrywialnym. Malware zagnieżdża się na partycji systemowej Androida. Po instalacji rootkitu uzyskiwał wysokie uprawnienia i wracał do systemu nawet po przywróceniu ustawień fabrycznych smartfonu.
Zagrożenie znaleźli i przeanalizowali specjaliści z Kaspersky Lab. Najciekawsze jest w nim to, że potrafił zainstalować się na partycji systemowej i uparcie nie dawał się usunąć.
W normalnym trybie pracy systemu Android ta część pamięci jest montowana wyłącznie do odczytu. Nie jest więc możliwe usunięcie plików xHelpera podczas tradycyjnego używania smartfonu. Jego komponenty są zakamuflowane między plikami systemowymi, niezbędnymi do działania Androida.
Atrybuty przypisane plikom xHelpera nie pozwalają na usunięcie nawet przez użytkownika z uprawnieniami roota. Przy okazji xHelper usuwa wszystkie aplikacje związane z rootowaniem systemu (na przykład Superuser). Jakby tego było mało, szkodnik modyfikuje biblioteki Androida, by zapobiec montowaniu partycji systemowej do zapisu w dowolnych warunkach.
W zasadzie jedynym sposobem, by pozbyć się tego szkodnika, jest flashowanie smartfonu z poziomu przywracania. W trybie recovery trzeba wgrać całkiem nowy obraz systemu. I tu dochodzimy do kolejnej atrakcji – sporo obrazów Androida dla tańszych smartfonów z Chin miało już „dodatek”, który ściągał xHelpera.
xHelper był mało aktywny w Polsce. Szczęśliwie rootkit używany przez xHelpera wykorzystuje luki w Androidzie 6 i 7, nowsze wersje są więc bezpieczne.
Źródło tekstu: Secure
