Phần mềm độc hại trên Android tự cài sau khi xóa sạch máy

Theo THN, xHelper đã lây nhiễm trên 45.000 thiết bị Android trong năm ngoái và kể từ đó những nhà nghiên cứu bảo mật thông tin đã thử vén màn bí hiểm loại ứng dụng ô nhiễm có năng lực tự thiết lập lại này .
Trong bài đăng trên blog mới gần đây, chuyên viên nghiên cứu và phân tích ứng dụng ô nhiễm Igor Golovin của Kaspersky đã giải thuật được bí hiểm của xHelper, cho thấy cụ thể kỹ thuật được sử dụng trong chính sách “ quật cường ” của chương trình, đồng thời tìm ra cách “ nhổ cỏ tận gốc ” trên những thiết bị đã nhiễm .
Ban đầu, xHelper giả dạng một ứng dụng quét dọn và tối ưu vận tốc smartphone phổ cập, phần lớn nạn nhân sinh sống tại Nga ( 80,56 % ), Ấn Độ ( 3,43 % ) và Algeria ( 2,43 % ). “ Thực tế ứng dụng quét dọn này chẳng mang lại quyền lợi nào. Sau khi cài lên máy, chương trình tự động hóa biến mất không để lại dấu vết trên màn hình hiển thị hay trong hạng mục ứng dụng. Cách duy nhất để tìm thấy xHelper là tra trong list ứng dụng đã setup trong phần thiết lập mạng lưới hệ thống ”, Golovin nói .

Sau khi được cài đặt, ứng dụng sẽ đăng ký một dịch vụ tiền cảnh (foreground – những tác vụ dùng người dùng có thể chú ý, nhận biết và phải hiển thị thông báo), sau đó giải nén gói mã hóa có khả năng thu thập, gửi thông tin xác thực trên máy nạn nhân tới một máy chủ được tin tặc điều khiển từ xa. Bước tiếp theo, chương trình thực thi gói dữ liệu ẩn khác để kích hoạt một loạt lệnh khai thác Android rồi cố gắng đoạt quyền quản trị trong hệ điều hành.

“ Chương trình hoàn toàn có thể lấy quyền root trên những thiết bị Android 6 hoặc 7 cài trên thiết bị của những nhà phân phối đến từ Trung Quốc. Phần mềm tự cài một backdoor có năng lực thực thi lệnh, được cho phép kẻ tiến công có toàn quyền truy vấn vào toàn bộ ứng dụng ”, Golovin san sẻ thêm .

Ứng dụng sau đó sẽ âm thầm tồn tại trong máy và chỉ đợi lệnh của tin tặc mới hành động. Nếu cuộc tấn công thành công, phần mềm khả nghi sẽ lạm dụng quyền ưu tiên để lẳng lặng cài xHelper bằng cách sao chép trực tiếp tập tin độc hại vào phân vùng hệ thống. Tất cả tập tin được đăng ký thuộc tính bất biến, khiến chúng rất khó bị xóa vì hệ thống Android không cho phép gỡ bỏ những file dạng này.

Kể cả khi ứng dụng bảo mật thông tin hợp pháp hay người dùng gỡ bỏ malware khỏi phân vùng mạng lưới hệ thống để vĩnh viễn loại chương trình trên máy, xHelper vẫn tự sửa đổi thư viện mạng lưới hệ thống nhằm mục đích ngăn người dùng cài lại phân vùng trong chính sách Ghi mạng lưới hệ thống .
Việc này khiến thao tác Phục hồi máy về setup gốc cũng trở nên vô dụng. Các chuyên viên cho biết giải pháp duy nhất để vĩnh viễn vô hiệu xHelper khỏi máy là setup lại máy bằng một phiên bản hệ quản lý và điều hành “ sạch ” tải từ website chính thức của nhà sản xuất, hoặc sử dụng một phiên bản ROM Android khác miễn là thích hợp với máy đang dùng .

5/5 - (1 vote)
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments