Phát hiện malware "bất tử" xHelper trên Android, tự hồi sinh ngay cả khi đã khôi phục cài đặt gốc

Học viện đào tạo trực tuyến Thứ Sáu, 1 tháng 11, 2019 0 No comments

Android đang khiến các chuyên gia bảo mật đau đầu bởi hầu như không thể gỡ bỏ được trên thiết bị, ngay cả khi khôi phục cài đặt gốc.

Malware có tên xHelper này chỉ mới được tạo ra khoảng 7 tháng nhưng nó đã nhanh chóng lọt vào dan hsacsh top 10 malware nguy hiểm hàng đầu của MalwareBytes theo thống kê tháng 8 vừa qua. Symantec cho biết họ đã phát hiện khoảng 45.000 thiết bị dính malware này và danh sách này dày hơn mỗi ngày. Các nhà nghiên cứu bảo mật cho biết xHelper đang được phát tán thông qua các trang web cung cấp ứng dụng dạng APK để người dùng cài thủ công vào máy và những ứng dụng này chứa xHelper.

Sau khi được cài đặt vào thiết bị, xHelper sẽ khủng bố bằng thông báo và quảng cáo pop-up. Cả Symantec và MalwareBytes cho biết hoạt động bất chính của xHelper hiện chỉ mới dừng lại ở những thông báo hay quảng cáo khuyến khích người dùng cài đặt các ứng khác hay chơi game trực tuyến. Khả năng là đây là nguồn thu nhập chính của nhóm tin tặc đứng đằng sau ứng dụng này bởi mỗi cú click hay mỗi lượt cài đặt, họ được trả một số tiền nhỏ.

Điều thú vị hơn là nhóm này đã thiết kế xHelper sao cho nó gần như không thể bị gỡ khỏi máy. Không chỉ hoạt động âm thầm mà xHelper còn vượt qua nhiều vòng bảo vệ, mã hóa để che giấu sự hiện diện của nó. MalwareBytes cho biết malware này có 2 biến thể là ẩn một phần và ẩn hoàn toàn. Ứng dụng độc hại này không hiển thị biểu tượng ứng dụng nhằm đảm bảo người dùng không biết được sự hiện diện của nó trên thiết bị. Ngoài ra việc không hiển thị biểu tượng ứng dụng cũng sẽ khiến người dùng không thể gỡ cài đặt nó dễ dàng. Cách duy nhất để biến máy mình dính xHelper là sự hiện diện của nó trên khu vực thông báo nhưng điều này chỉ có trên biến thể ẩn một phần, biến thể ẩn hoàn toàn thậm chí không hiển thị gì.

xHelper được thiết kế để tự động chạy dưới dạng một dịch vụ nền dựa trên các kích hoạt như khi khởi động thiết bị, kết nối/ngắt kết nối với cục sạc. Là một thành phần nhúng bên trong một ứng dụng khác nên cho dù bạn gỡ ứng dụng ban đầu thì xHelper vẫn ở lại trên thiết bị.

Thêm vào đó, xHelper còn có cơ chế tự khởi động lại trong tình huống người dùng cố gắng tắt dịch vụ. Nguy hiểm hơn, cho dù bạn có khôi phục cài đặt gốc thì xHelper bằng một cách nào đó sẽ xuất hiện và tiếp tục spam quảng cáo. Các nhà nghiên cứu bảo mật tại Symantec đến nay vẫn chưa tìm được cơ chế "tự hồi sinh" của xHelper ngay cả khi đã khôi phục cài đặt gốc trên thiết bị.

Symantec nói xHelper cũng thiết lập kết nối với một máy chủ từ xa để nhận lệnh vậy nên malware này sẽ trở thành một hiểm họa thật sự nếu nó cài đặt thêm các ứng dụng độc hại khác trên máy hay thậm chí tấn công giành quyền kiểm soát thiết bị.

Theo: AndroidCentral