بدافزار اندرویدی xHelper چگونه پس از تنظیم کارخانه، مجدداً نصب می‌شود؟

بدافزار xHelper یک بدافزار اندرویدی است که حتی پس از حذف توسط کاربران یا تنظیم کارخانه‌ی دستگاه‌ها، مجدداً خود را بر روی دستگاه‌های آلوده نصب می‌کند، به‌گونه‌ای که حذف آن تقریباً غیرممکن به‌نظر می‌رسد. طبق گزارش‌ها، این بدافزار در سال گذشته بیش از ۴۵هزار دستگاه را آلوده کرده و از آن زمان، محققان امنیت سایبری سعی در کشف چگونگی بقای این بدافزار حتی پس از تنظیم كارخانه و نیز، چگونگی آلوده‌شدن تعداد زیادی از دستگاه‌ها توسط آن را دارند. طبق گزارش‌ها، این بدافزار بیشتر کاربران روسیه (۸۰٫۵۶ درصد)، هند (۳٫۴۳ درصد) و الجزایر (۲٫۴۳ درصد) را تحت تأثیر قرار داده است.

محققان شرکت امنیتی کسپرسکی، سرانجام رمز و راز این بدافزار را با پرده‌برداری از جزئیات فنی سازوکار ماندگاری آن حل کرده و همچنین فهمیدند که چگونه می‌توان به‌طور کامل xHelper را از دستگاه آلوده حذف کرد.

این بدافزار به‌عنوان بردار اولیه‌ی حمله و نیز توزیع خود، در قالب یک برنامه‌ی پاک‌کننده‌ و بهینه‌سازی سرعت تلفن‌های همراه هوشمند ظاهر می‌شود. به گفته‌ی محققان، اما در واقعیت، هیچ چیز مفیدی در مورد آن وجود ندارد. پس از نصب این بدافزار، پاک‌کننده به‌سادگی از بین رفته و در صفحه‌ی اصلی یا منوی برنامه‌ها مشاهده نمی‌شود. بلکه، تنها با بررسی لیست برنامه‎های نصب‌شده، می‌توان آن را مشاهده کرد.

پس از نصب توسط یک کاربر مشکوک، این برنامه‌ی مخرب خود را به‌عنوان یک سرویس پیش‌زمینه ثبت می‌کند. سپس، با استخراج یک بارداده‌ی رمزنگاری‌شده، اطلاعات شناسایی دستگاه هدف را جمع‌آوری کرده و به یک سرور راه دور کنترل‌شده توسط مهاجم ارسال می‌کند. در مرحله‌ی بعد، برنامه‌ی مخرب بارداده‌ی دیگری را اجرا می‌کند که مجموعه‌ای از بهره‌برداری‌های rooting اندروید را آغاز کرده و در تلاش است تا دسترسی مدیریتی به سیستم عامل دستگاه داشته باشد.

به گفته‌ی  محققان، این بدافزار می‌تواند دسترسی روت به دستگاه‌هایی که نسخه‌های ۶ و ۷ اندروید را اجرا می‌کنند، به‌دست آورد. این بدافزار که بی‌صدا بر روی دستگاه قرار گرفته و منتظر دستورات مهاجمان است، از پین‌کردن گواهی‌نامه‌ی SSL برای جلوگیری از ردیابی ارتباطات خود استفاده می‌کند. علاوه‌براین، نتایج تحقیقات نشان می‌دهد که این بدافزار با نصب یک درب پشتی، می‌تواند دستورات را به‌عنوان یک سوپرکاربر (superuser) اجرا کند. این قابلیت، امکان دسترسی کامل به تمامی داده‌های برنامه را برای مهاجمان فراهم کرده و می‌تواند توسط سایر بدافزارها، مانند CookieThief نیز استفاده شود.

درصورت موفقیت‌آمیزبودن این حمله، برنامه‌ی مخرب از امتیازات روت و از طریق کپی مستقیم فایل‌های بسته‌ی مخرب در پارتیشن سیستم (پوشه‌ی /system/bin)، بدافزار xHelper را در سکوت نصب می‌کند. حال در این مرحله، به تمامی فایل‌های موجود در پوشه‌های هدف، ویژگی تغییرناپذیری اختصاص می‌یابد که حذف بدافزار را دشوار می‌کند؛ زیرا این سیستم حتی به سوپرکاربر نیز اجازه نمی‌دهد که فایل‌های دارای این ویژگی را حذف کند.

نکته‌ی جالب‌تر این که، اگرچه یک برنامه‌ی امنیتی قانونی یا کاربر تحت تأثیر می‌تواند به‌منظور حذف دائمی فایل بدافزار، به همین روش و به‌سادگی پارتیشن سیستم را دوباره نصب کند، اما xHelper کتابخانه‌ی سیستم (libc.so) را نیز تغییر داده است و به این ترتیب، از نصب مجدد پارتیشن سیستم در حالت نوشتن توسط کاربر جلوگیری می‌کند. مهم‌تر از آن، این تروجان چندین برنامه‌ی مخرب دیگر را دانلود و نصب کرده و برنامه‌های کنترل دسترسی ریشه مانند سوپرکاربر را نیز حذف می‌کند.

به گفته‌ی کسپرسکی، با جایگزین‌کردن کتابخانه‌ی تغییریافته توسط بدافزار با یک نسخه‌ی جدید از ثابت‌افزار اصلی در تلفن‌های همراه اندرویدی، کاربران می‌توانند نصب پارتیشن سیستم در حالت نوشتن را مجدداً فعال کرده و به این ترتیب، بدافزار xHelper  را حذف کنند. بااین‌حال، به‌جای پیروی از این پروسه‌ی بسیار فنی و تخصصی برای خلاص‌شدن از شر این بدافزار، به کاربران توصیه می‌شود تا با دانلود یک کپی جدید از ثابت‌افزار از وب‌سایت رسمی فروشندگان و یا با نصب یک نسخه‌ی متفاوت اما سازگار ROM  اندروید، تلفن‌های آسیب‌دیده خود را فلش کنند.

منبع

پست‌های مشابه

Leave a Comment