Троян xHelper повертається

Нова версія «невбиваного» трояна xHelper, який в 2019 р вразив десятки тисяч смартфонів жителів Росії, США та Індії, знову інфікує Android-пристрої. Фахівці вважають, що знаходити дорогу назад в «чисту» систему шкідливий мимоволі допомагає магазин Google Play, але не розуміють, як саме, пише Український телекомунікаційний портал.

xHelper повертається

Фахівці з безпеки з компанії Malwarebytes виявили небезпечну шкідливу програму, яка протягом години повторно з’являється на пристроях, з яких раніше була видалена. Це вже друга версія шкідливий xHelper, який вражає електроніку під управлінням операційної системи Android. Традиційні методи боротьби з мобільними вірусами і троянами у випадку з ним виявляються безсилі. За даними експертів Malwarebytes, не допомагає навіть повне скидання пристрою до заводських налаштувань, часто є панацеєю.

Незважаючи на те, що фахівцям з Malwarebytes в кінцевому рахунку вдалося позбавити один із заражених зразків від «невбиваного» трояна, механізм його постійного «переродження» як і раніше залишається не до кінця зрозумілим.

Загадковий механізм переустановки

За словами представників ІБ-компанії, непряме відношення до поширення може мати Google Play. У всякому разі, сервіс згадувався як джерело повторної установки xHelper. Однак, як відзначають фахівці, це може бути лише «димовою завісою», що приховує реальний джерело зараження, так як ніяких додатків з магазину Google на досліджуваному екземплярі встановлено не було, як і не було заражено додаток Google Play.

Оскільки інші експерименти із зараженим зразком в режимі налагодження не привели до успіху, команда дослідників повністю відключила Google Play в настройках, що, на подив Malwarebytes, дало позитивний результат – більш шкідливий в системі не з’являвся. Дослідники висунули припущення, що повторне зараження може викликати щось, розташоване у внутрішньому сховище гаджета – адже призначені для користувача файли при скиданні налаштувань до заводських зберігаються.

На практиці в прихованому каталозі com.mufc.umbtts дійсно був виявлений файл з розширенням APK (упаковане додаток для Android), призначений для установки іншою версією xHelper (її назвали Android / Trojan.Dropper.xHelper.VRW). Вона в свою чергу, завантажує і встановлює, власне, спостережувану в системі оригінальну версію шкідливий. Заковика, однак, полягала в тому, що виявити цю версію на смартфоні в установленому вигляді експертам не вдалося. Вони вважають, що програма веде себе хитро: встановлюється, запускається, а потім автоматично видаляє себе і замітає за собою сліди в лічені секунди, таким чином, уникаючи виявлення.

Проте, фахівці до цих пір не розуміють, що саме виступає сигналом до установки. Це «щось», на їхню думку, пов’язано з Google Play і вимагає подальшого вивчення. На даний момент власникам заражених пристроїв Malwarebytes рекомендує просканувати його антивірусною програмою, попередньо відключивши Google Play. Це дозволить повністю видалити xHelper.

Кілька слів про xHelper

xHelper вперше потрапив в поле зору фахівців весною 2019 року, а в серпні того ж року експерти Malwarebytes опублікували звіт, в якому говорилося про те, що шкідливий вже встиг заразити близько 35 тис. пристроїв. У жовтні Symantec повідомила, що в середньому жертвами xHelper стає 131 пристрій щодня, а число заражених девайсів досягло 45 тис. Переважно в Росії, Індії і США.

xHelper є шкідливу програму, яка відноситься до категорії так званих Дроппер. Його функціональність зводиться до непомітною установці ряду інших, більш небезпечних додатків – наприклад, банківських троянів або вимагачів. Крім того, шкідливий може демонструвати своїм жертвам спливаючу рекламу і повідомлення з пропозицією встановити інші програми з Google Play. Ще перша версія xHelper володіла високим рівнем «живучості». Перша версія програми, потрапивши в систему, встановлювала себе як окрему автономну службу. В результаті цього видалення програми не дозволяло повністю позбутися від настирливої ​​реклами.

Як саме троян потрапляє на заражені пристрої, в Symantec тоді пояснити не змогли. У додатках в офіційному магазині Google Play його семплів фахівці не виявили. У компанії підозрювали, що шкідливий може скачиваться на смартфони через якісь додатки, попередньо встановлювати на пристрої певних, нерідко маловідомих, брендів.