بدافزار xHelper یک بدافزار اندرویدی است که حتی پس از حذف توسط کاربران یا تنظیم کارخانهی دستگاهها، مجدداً خود را بر روی دستگاههای آلوده نصب میکند، بهگونهای که حذف آن تقریباً غیرممکن بهنظر میرسد. طبق گزارشها، این بدافزار در سال گذشته بیش از ۴۵هزار دستگاه را آلوده کرده و از آن زمان، محققان امنیت سایبری سعی در کشف چگونگی بقای این بدافزار حتی پس از تنظیم كارخانه و نیز، چگونگی آلودهشدن تعداد زیادی از دستگاهها توسط آن را دارند. طبق گزارشها، این بدافزار بیشتر کاربران روسیه (۸۰٫۵۶ درصد)، هند (۳٫۴۳ درصد) و الجزایر (۲٫۴۳ درصد) را تحت تأثیر قرار داده است.
محققان شرکت امنیتی کسپرسکی، سرانجام رمز و راز این بدافزار را با پردهبرداری از جزئیات فنی سازوکار ماندگاری آن حل کرده و همچنین فهمیدند که چگونه میتوان بهطور کامل xHelper را از دستگاه آلوده حذف کرد.
این بدافزار بهعنوان بردار اولیهی حمله و نیز توزیع خود، در قالب یک برنامهی پاککننده و بهینهسازی سرعت تلفنهای همراه هوشمند ظاهر میشود. به گفتهی محققان، اما در واقعیت، هیچ چیز مفیدی در مورد آن وجود ندارد. پس از نصب این بدافزار، پاککننده بهسادگی از بین رفته و در صفحهی اصلی یا منوی برنامهها مشاهده نمیشود. بلکه، تنها با بررسی لیست برنامههای نصبشده، میتوان آن را مشاهده کرد.
پس از نصب توسط یک کاربر مشکوک، این برنامهی مخرب خود را بهعنوان یک سرویس پیشزمینه ثبت میکند. سپس، با استخراج یک باردادهی رمزنگاریشده، اطلاعات شناسایی دستگاه هدف را جمعآوری کرده و به یک سرور راه دور کنترلشده توسط مهاجم ارسال میکند. در مرحلهی بعد، برنامهی مخرب باردادهی دیگری را اجرا میکند که مجموعهای از بهرهبرداریهای rooting اندروید را آغاز کرده و در تلاش است تا دسترسی مدیریتی به سیستم عامل دستگاه داشته باشد.
به گفتهی محققان، این بدافزار میتواند دسترسی روت به دستگاههایی که نسخههای ۶ و ۷ اندروید را اجرا میکنند، بهدست آورد. این بدافزار که بیصدا بر روی دستگاه قرار گرفته و منتظر دستورات مهاجمان است، از پینکردن گواهینامهی SSL برای جلوگیری از ردیابی ارتباطات خود استفاده میکند. علاوهبراین، نتایج تحقیقات نشان میدهد که این بدافزار با نصب یک درب پشتی، میتواند دستورات را بهعنوان یک سوپرکاربر (superuser) اجرا کند. این قابلیت، امکان دسترسی کامل به تمامی دادههای برنامه را برای مهاجمان فراهم کرده و میتواند توسط سایر بدافزارها، مانند CookieThief نیز استفاده شود.
درصورت موفقیتآمیزبودن این حمله، برنامهی مخرب از امتیازات روت و از طریق کپی مستقیم فایلهای بستهی مخرب در پارتیشن سیستم (پوشهی /system/bin)، بدافزار xHelper را در سکوت نصب میکند. حال در این مرحله، به تمامی فایلهای موجود در پوشههای هدف، ویژگی تغییرناپذیری اختصاص مییابد که حذف بدافزار را دشوار میکند؛ زیرا این سیستم حتی به سوپرکاربر نیز اجازه نمیدهد که فایلهای دارای این ویژگی را حذف کند.
نکتهی جالبتر این که، اگرچه یک برنامهی امنیتی قانونی یا کاربر تحت تأثیر میتواند بهمنظور حذف دائمی فایل بدافزار، به همین روش و بهسادگی پارتیشن سیستم را دوباره نصب کند، اما xHelper کتابخانهی سیستم (libc.so) را نیز تغییر داده است و به این ترتیب، از نصب مجدد پارتیشن سیستم در حالت نوشتن توسط کاربر جلوگیری میکند. مهمتر از آن، این تروجان چندین برنامهی مخرب دیگر را دانلود و نصب کرده و برنامههای کنترل دسترسی ریشه مانند سوپرکاربر را نیز حذف میکند.
به گفتهی کسپرسکی، با جایگزینکردن کتابخانهی تغییریافته توسط بدافزار با یک نسخهی جدید از ثابتافزار اصلی در تلفنهای همراه اندرویدی، کاربران میتوانند نصب پارتیشن سیستم در حالت نوشتن را مجدداً فعال کرده و به این ترتیب، بدافزار xHelper را حذف کنند. بااینحال، بهجای پیروی از این پروسهی بسیار فنی و تخصصی برای خلاصشدن از شر این بدافزار، به کاربران توصیه میشود تا با دانلود یک کپی جدید از ثابتافزار از وبسایت رسمی فروشندگان و یا با نصب یک نسخهی متفاوت اما سازگار ROM اندروید، تلفنهای آسیبدیده خود را فلش کنند.