Theo THN, xHelper đã lây nhiễm trên 45.000 thiết bị Android trong năm ngoái và kể từ đó các nhà nghiên cứu bảo mật đã thử vén màn bí mật loại phần mềm độc hại có khả năng tự cài đặt lại này.
Trong bài đăng trên blog mới đây, chuyên gia phân tích phần mềm độc hại Igor Golovin của Kaspersky đã giải mã được bí mật của xHelper, cho thấy chi tiết kỹ thuật được sử dụng trong cơ chế “bất khuất” của chương trình, đồng thời tìm ra cách “nhổ cỏ tận gốc” trên các thiết bị đã nhiễm.
Ban đầu, xHelper giả dạng một phần mềm dọn dẹp và tối ưu tốc độ smartphone phổ biến, đa phần nạn nhân sinh sống tại Nga (80,56%), Ấn Độ (3,43%) và Algeria (2,43%). “Thực tế ứng dụng dọn dẹp này chẳng mang lại lợi ích nào. Sau khi cài lên máy, chương trình tự động biến mất không để lại dấu vết trên màn hình hay trong danh mục phần mềm. Cách duy nhất để tìm thấy xHelper là tra trong danh sách ứng dụng đã cài đặt trong phần cài đặt hệ thống”, Golovin nói.
Sau khi được cài đặt, ứng dụng sẽ đăng ký một dịch vụ tiền cảnh (foreground - những tác vụ dùng người dùng có thể chú ý, nhận biết và phải hiển thị thông báo), sau đó giải nén gói mã hóa có khả năng thu thập, gửi thông tin xác thực trên máy nạn nhân tới một máy chủ được tin tặc điều khiển từ xa. Bước tiếp theo, chương trình thực thi gói dữ liệu ẩn khác để kích hoạt một loạt lệnh khai thác Android rồi cố gắng đoạt quyền quản trị trong hệ điều hành.
“Chương trình có thể lấy quyền root trên các thiết bị Android 6 hoặc 7 cài trên thiết bị của những nhà sản xuất đến từ Trung Quốc. Phần mềm tự cài một backdoor có khả năng thực thi lệnh, cho phép kẻ tấn công có toàn quyền truy cập vào tất cả ứng dụng”, Golovin chia sẻ thêm.
Ứng dụng sau đó sẽ âm thầm tồn tại trong máy và chỉ đợi lệnh của tin tặc mới hành động. Nếu cuộc tấn công thành công, phần mềm khả nghi sẽ lạm dụng quyền ưu tiên để lẳng lặng cài xHelper bằng cách sao chép trực tiếp tập tin độc hại vào phân vùng hệ thống. Tất cả tập tin được đăng ký thuộc tính bất biến, khiến chúng rất khó bị xóa vì hệ thống Android không cho phép gỡ bỏ những file dạng này.
Kể cả khi ứng dụng bảo mật hợp pháp hay người dùng gỡ bỏ malware khỏi phân vùng hệ thống để vĩnh viễn loại chương trình trên máy, xHelper vẫn tự sửa đổi thư viện hệ thống nhằm ngăn người dùng cài lại phân vùng trong chế độ Ghi hệ thống.
Việc này khiến thao tác khôi phục máy về cài đặt gốc cũng trở nên vô dụng. Các chuyên gia cho biết biện pháp duy nhất để vĩnh viễn loại bỏ xHelper khỏi máy là cài đặt lại máy bằng một phiên bản hệ điều hành “sạch” tải từ website chính thức của nhà cung cấp, hoặc sử dụng một phiên bản ROM Android khác miễn là tương thích với máy đang dùng.
Bình luận (0)