Ça s'appelle méchant - oh, la réinfection de tout cela - et sournois pour une bonne raison :c'est tout ça, connu des observateurs de maux de tête sous le nom de xHelper, ce qui s'avère être d'aucune aide une fois infecté. Le malware xHelper a été identifié comme un dropper de cheval de Troie.

Un compte-gouttes de Troie ? Il installe des APK malveillants sur votre téléphone à votre insu ou sans votre permission, mentionné TechRadar .

Nathan Collier, analyste de logiciels malveillants, Malwarebytes, une entreprise qui comme son nom l'indique est dans le domaine de la cybersécurité, connaît de première main ce compte-gouttes de malware et son utilisation persistante de tactiques de réinfection.

Android Trojan xHelper est à quel point méchant? Collier a écrit que "C'est de loin l'infection la plus méchante que j'ai rencontrée en tant que chercheur de logiciels malveillants mobiles." Son travail l'a toujours amené à croire que, bien que la dernière option, une réinitialisation d'usine pourrait résoudre même la pire infection.

Pas cette fois.

Réellement, dit Collier, la société était au courant de cela en 2019. Finalement, a rapporté Dan Goodin dans Ars Technica , Malwarebytes apprendrait grâce à sa détection d'application antivirus Android que xHelper était sur 33, 000 appareils « principalement situés aux États-Unis, faisant du malware l'une des principales menaces Android."

Considérez le rapport de Symantec en octobre 2019.

« Symantec a observé une augmentation des détections d'une application Android malveillante qui peut se cacher des utilisateurs, télécharger des applications malveillantes supplémentaires, et afficher des publicités."

Symantec a cloué sa capacité à se réinstaller même après que les utilisateurs l'aient désinstallé. Symantec a déclaré qu'il était conçu pour rester caché. Il n'apparaîtrait pas sur le lanceur du système.

"L'application a infecté plus de 45, 000 appareils au cours des six derniers mois." Au tout début, le code du malware était relativement simple, mais au fil du temps, le code a changé. "Initialement, la capacité du malware à se connecter à un serveur C&C a été écrite directement dans le malware lui-même, mais plus tard, cette fonctionnalité a été déplacée vers une charge utile chiffrée, pour tenter d'échapper à la détection de signature. Certaines variantes plus anciennes incluaient des classes vides qui n'étaient pas implémentées à l'époque, mais la fonctionnalité est maintenant entièrement activée. Comme décrit précédemment, Les fonctionnalités de Xhelper se sont considérablement étendues ces derniers temps."

D'ici novembre 2019, Bruce Schneier dans Boulevard de la sécurité savait que ce n'était pas facile d'essayer d'identifier le coupable. "C'est un malware étrange, " a-t-il fait remarquer. " Ce niveau de persistance parle à un acteur de l'État-nation. L'évolution continue du malware implique un acteur organisé. Mais envoyer des publicités indésirables est beaucoup trop bruyant pour une utilisation sérieuse. Et le mécanisme d'infection est assez aléatoire. Je ne sais tout simplement pas."

Pendant ce temps, Collier a ramené ses lecteurs à une époque récente, quand « un utilisateur averti nous a contacté début janvier 2020 sur le forum d'assistance de Malwarebytes :« J'ai un téléphone infecté par le virus xhelper. Cette douleur tenace ne cesse de revenir.

De nouveau, la méchanceté résidait dans sa persistance. Collier a rapporté que « Malwarebytes pour Android avait déjà supprimé avec succès deux variantes de xHelper et un agent cheval de Troie de son appareil mobile. Le problème était :il revenait sans cesse moins d'une heure après le retrait. xHelper se réinfectait encore et encore."

Collier a déclaré que cet aspect de xHelper se démarque pour lui car il ne se souvenait pas d'un moment où une infection persistait après une réinitialisation d'usine, à moins que l'appareil ne soit livré avec un logiciel malveillant préinstallé.

Contrairement aux applications, les répertoires et les fichiers restent sur l'appareil mobile Android même après une réinitialisation d'usine. Par conséquent, jusqu'à ce que les répertoires et fichiers soient supprimés, l'appareil continuera à être infecté. "Heureusement, J'ai eu l'aide d'Amelia, qui a été aussi persistant que xHelper lui-même pour trouver une réponse et nous guider jusqu'à notre conclusion."

Le coupable? En 2020, Collier a fait des progrès. Il a enquêté et c'est ce qu'il a trouvé. "Caché dans un répertoire nommé com.mufc.umbtts se trouvait encore un autre package d'application Android (APK). L'APK en question était un cheval de Troie dropper que nous avons rapidement nommé Android/Trojan.Dropper.xHelper.VRW. Il est responsable de la suppression d'une variante de xHelper, qui supprime ensuite plus de logiciels malveillants en quelques secondes."

Plus de mystère flotte dans:Nulle part sur l'appareil il ne semble que Trojan.Dropper.xHelper.VRW a été installé. "C'est notre conviction qu'il s'est installé, couru, et désinstallé à nouveau en quelques secondes pour échapper à la détection, le tout par quelque chose déclenché par Google PLAY. Le 'comment' derrière cela est encore inconnu."

Heureusement, Collier a écrit sur les étapes à suivre, pour adresser xHelper. Il avait des instructions détaillées. Collier a tout d'abord recommandé d'installer le logiciel gratuit Malwarebytes pour Android.

Il a dit d'installer un gestionnaire de fichiers de Google PLAY qui avait la capacité de rechercher des fichiers et des répertoires. Amelia a utilisé le gestionnaire de fichiers d'ASTRO. Collier a dit de désactiver temporairement Google PLAY, pour arrêter la réinfection. Plus d'instructions suivies dans la liste.

Collier a conclu en emmenant ses lecteurs dans une perspective plus large :nous serions peut-être entrés dans une nouvelle ère des logiciels malveillants mobiles. « La possibilité de réinfecter à l'aide d'un répertoire caché contenant un APK qui peut échapper à la détection est à la fois effrayante et frustrante. Nous continuerons à analyser ce malware en coulisses. En attendant, nous espérons que cela terminera au moins le chapitre de cette variante particulière de xHelper."

Chat Ellis, TechRadar :"Si vous commencez à voir de nouvelles icônes d'application et de notification que vous ne reconnaissez pas, il est possible que votre téléphone ait été infecté par ce type de malware, bien que ce ne soit pas toujours évident; les logiciels malveillants sont souvent déguisés en applications système légitimes, et les icônes peuvent être cachées."

© 2020 Réseau Science X