Поделиться
На смартфоны в России и США напал троян, который невозможно удалить
Компания Symantec отметила резкое распространение троянца, который не удаляется даже после аппаратного сброса. Возможно, на определённых устройствах его заново устанавливает какое-то системное приложение.Реклама, руткиты и регулярные возвращения
Компания Symanteс обнаружила резкий рост количества заражений троянцем xHelper под Android. Вредоносная программа, заразившая за последние полгода 45 тыс. устройств преимущественно в России, Индии и США, автоматически переустанавливается на устройстве после удаления вручную и даже после сброса устройства на заводские настройки.
Помимо неудаляемости xHelper неприятен тем, что выводит огромное количество раздражающей рекламы, а также скачивает и устанавливает дополнительные вредоносы на пользовательское устройство.
Как отмечается в публикации Symantec, у xHelper «нет обычного пользовательского интерфейса. Вредоносная программа представляет собой компонент приложения, что означает, что в средствах запуска приложений заражённого устройства он не будет отображаться».
По этой же причине xHelper невозможно запустить вручную: его запуск происходит в ответ на внешние события - например, подключение устройства к источнику питания, перезагрузку или установку и удаление приложений.
После запуска троянец регистрируется как приоритетное приложение, что снижает вероятность того, что система закроет его при исчерпании памяти; если его служба всё-таки остановлена, она автоматически перезапускается снова.
В троянце также реализована защита от перехвата коммуникаций с его контрольным сервером - это делается с помощью «закрепления сертификата» (Certificate pinning).
Обосновавшись на устройстве, xHelper скачивает туда всевозможные дропперы, кликеры (троянцы - накрутчики рекламы) и даже руткиты.
В активной разработке
Symantec отмечает, что впервые xHelper попал в поле видимости компании в марте 2019 г. На тот момент это был довольно простой с технической точки зрения накрутчик рекламы. В последнее время, однако, функциональность троянца резко возрасла, и в Symantec убеждены, что его разработка по-прежнему ведётся очень активно.
Как именно троянец попадает на заражённые устройства, пока остаётся тайной. В приложениях в официальном магазине Google Play его сэмплов не обнаружено. Что означает, что пользователи скачивали заражённые им приложения откуда-то ещё. В Symantec, однако, подозревают, что троянец может скачиваться на смартфоны через какие-то приложения, предустанавливаемые на устройства определённых брендов (каких именно, в Symantec не уточнили).
«Наша телеметрия показывает, что эти приложения (связанные с xHelper - прим. CNews) устанавливаются чаще прочего на конкретные бренды, и это заставляет нас предположить, что злоумышленники заинтересованы в конкретных марках мобильных устройств. Нам кажется маловероятным, впрочем, что xHelper предустанавливается на смартфоны, учитывая, что у эти приложения не являются системными вовсе. Вдобавок множество пользователей жалуется на постоянное присутствие вредоносной программы на их устройствах, несмотря на сброс настроек до заводских и ручную переустановку. И поскольку эти вредоносные приложения не являются системными, есть основания полагать, что некое приложение, являющееся системным - и вредоносным - постоянно скачивает троянец. Сейчас мы занимаемся расследованием этой версии», - говорится в публикации Symantec.
«Версия выглядит вполне правдоподобной, во всяком случае, в теории, - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Вполне вероятно, что кто-то скомпрометировал программные репозитории с предустанавливаемыми на определённые марки смартфонов приложениями, и заложил в них вредоносную функциональность. Надо сказать, это весьма эффективный способ препятствовать любым попыткам удалить троянец. По крайней мере, до тех пор, пока не выяснится, что за системное приложение себя так ведёт, и в нём ли дело вообще».
Пока точная причина повторных заражений неизвестна, Symantec даёт базовые рекомендации по борьбе с проблемой: не устанавливать приложения из непроверенных источников, обзавестись антивирусом, внимательно смотреть, какие приложения каких разрешений требуют, как можно чаще обновлять всё, что подлежит обновлению и регулярно резервировать важные данные.
Поделиться
Короткая ссылка
