Phát hiện malware mới Xhelper trên Android lây nhiễm 45.000 thiết bị

Trong vài tháng qua, hàng trăm người dùng Android đã phàn nàn trên các cộng đồng về một phần mềm độc hại bí ẩn mới ẩn trên các thiết bị bị nhiễm và có thể tự cài đặt lại ngay cả sau khi người dùng xóa hoặc cài đặt lại thiết bị của họ.

Được đặt tên là Xhelper, phần mềm độc hại đã lây nhiễm hơn 45.000 thiết bị Android chỉ trong sáu tháng qua và đang tiếp tục lây lan bằng cách lây nhiễm ít nhất 2.400 thiết bị trung bình mỗi tháng, theo báo cáo mới nhất được công bố hôm nay bởi Symantec.

Ở đây bên dưới, thu thập các trích đoạn từ một số bình luận mà người dùng bị ảnh hưởng chia sẻ trên các diễn đàn trực tuyến trong khi yêu cầu làm thế nào để loại bỏ phần mềm độc hại Xrcper Android:

“xrcper thường xuyên cài đặt lại, hầu như mỗi ngày!” “cài đặt ‘cài đặt ứng dụng từ các nguồn không xác định’ sẽ tự bật.” “Tôi khởi động lại điện thoại của mình và cũng xóa sạch điện thoại của mình nhưng ứng dụng xrcper đã hoạt động trở lại.” “Xhelper đã được cài đặt sẵn trên điện thoại từ Trung Quốc.” “không mua điện thoại thương hiệu giá rẻ.”

Phần mềm độc hại Android Xrcper đến từ đâu?

Mặc dù các nhà nghiên cứu Symantec không tìm thấy nguồn chính xác từ nơi ứng dụng độc hại chứa phần mềm độc hại Xhelper xuất hiện ngay từ đầu, công ty bảo mật đã nghi ngờ rằng một ứng dụng hệ thống độc hại được cài đặt sẵn trên thiết bị Android từ một số thương hiệu thực sự đã tải xuống phần mềm độc hại.

 

“Không có mẫu nào chúng tôi phân tích có sẵn trên Google Play Store và trong khi có thể phần mềm độc hại Xhelper được người dùng tải xuống từ các nguồn không xác định, chúng tôi tin rằng đó có thể không phải là kênh phân phối duy nhất”, các nhà nghiên cứu Symantec viết trong đó. báo cáo .

“Từ xa, chúng tôi đã thấy các ứng dụng này được cài đặt thường xuyên hơn trên một số thương hiệu điện thoại nhất định, điều này khiến chúng tôi tin rằng những kẻ tấn công có thể đang tập trung vào các thương hiệu cụ thể.”

Trong một báo cáo riêng được Malwarebytes công bố hai tháng trước, các nhà nghiên cứu tin rằng phần mềm độc hại Xhelper đang được lan truyền bởi “chuyển hướng web” hoặc “các trang web mờ ám khác” khiến người dùng tải xuống ứng dụng từ các nguồn của bên thứ ba không đáng tin cậy.

Phần mềm độc hại Xhelper hoạt động như thế nào?

Sau khi cài đặt, Xhelper không cung cấp giao diện người dùng thông thường; thay vào đó, nó được cài đặt như một thành phần ứng dụng không hiển thị trên trình khởi chạy ứng dụng của thiết bị nhằm ẩn giấu người dùng.

Để tự khởi chạy, Xhelper dựa vào một số sự kiện bên ngoài do người dùng kích hoạt, như kết nối hoặc ngắt kết nối thiết bị bị nhiễm khỏi nguồn điện, khởi động lại thiết bị hoặc cài đặt hoặc gỡ cài đặt ứng dụng.

Sau khi được khởi chạy, phần mềm độc hại sẽ kết nối với máy chủ chỉ huy và kiểm soát từ xa của nó qua một kênh được mã hóa và tải xuống các tải trọng bổ sung như ống nhỏ giọt, nhấp chuột và rootkit trên các thiết bị Android bị xâm nhập.

Các nhà nghiên cứu cho biết: “Chúng tôi tin rằng nhóm phần mềm độc hại được lưu trữ trên máy chủ C & C rất rộng lớn và đa dạng về chức năng, mang lại cho kẻ tấn công nhiều tùy chọn, bao gồm đánh cắp dữ liệu hoặc thậm chí là tiếp quản hoàn toàn thiết bị”.

Các nhà nghiên cứu tin rằng mã nguồn của Xhelper vẫn đang được tiến hành, vì một số “biến thể cũ hơn của nó bao gồm các lớp trống không được triển khai vào thời điểm đó, nhưng chức năng hiện đã được kích hoạt đầy đủ”.

Phần mềm độc hại Xhelper đã được nhìn thấy nhắm mục tiêu người dùng điện thoại thông minh Android chủ yếu ở Ấn Độ, Hoa Kỳ và Nga.

Mặc dù nhiều sản phẩm chống vi-rút cho Android phát hiện phần mềm độc hại Xhelper, nhưng chúng vẫn chưa thể xóa hoặc chặn vĩnh viễn phần mềm này khỏi việc cài đặt lại trên các thiết bị bị nhiễm.

Vì nguồn phần mềm độc hại vẫn chưa rõ ràng, người dùng Android được khuyến nghị thực hiện các biện pháp phòng ngừa đơn giản nhưng hiệu quả như:

  • giữ cho các thiết bị và ứng dụng được cập nhật,
  • tránh tải xuống ứng dụng từ các nguồn không quen thuộc,
  • luôn chú ý đến các quyền mà ứng dụng yêu cầu,
  • thường xuyên sao lưu dữ liệu và
  • cài đặt một ứng dụng chống vi-rút tốt bảo vệ chống lại phần mềm độc hại này và các mối đe dọa tương tự.

bình luận

Leave a Comment