Спецпроекты

Безопасность Администратору Пользователю Техника Мобильность Маркет

На смартфоны в России и США напал троян, который невозможно удалить

Компания Symantec отметила резкое распространение троянца, который не удаляется даже после аппаратного сброса. Возможно, на определённых устройствах его заново устанавливает какое-то системное приложение.

Реклама, руткиты и регулярные возвращения

Компания Symanteс обнаружила резкий рост количества заражений троянцем xHelper под Android. Вредоносная программа, заразившая за последние полгода 45 тыс. устройств преимущественно в России, Индии и США, автоматически переустанавливается на устройстве после удаления вручную и даже после сброса устройства на заводские настройки.

Помимо неудаляемости xHelper неприятен тем, что выводит огромное количество раздражающей рекламы, а также скачивает и устанавливает дополнительные вредоносы на пользовательское устройство.

Как отмечается в публикации Symantec, у xHelper «нет обычного пользовательского интерфейса. Вредоносная программа представляет собой компонент приложения, что означает, что в средствах запуска приложений заражённого устройства он не будет отображаться».

По этой же причине xHelper невозможно запустить вручную: его запуск происходит в ответ на внешние события - например, подключение устройства к источнику питания, перезагрузку или установку и удаление приложений.

Троянец xHelper, не удаляется даже после аппаратного сброса устройств на Android

После запуска троянец регистрируется как приоритетное приложение, что снижает вероятность того, что система закроет его при исчерпании памяти; если его служба всё-таки остановлена, она автоматически перезапускается снова.

В троянце также реализована защита от перехвата коммуникаций с его контрольным сервером - это делается с помощью «закрепления сертификата» (Certificate pinning).

Обосновавшись на устройстве, xHelper скачивает туда всевозможные дропперы, кликеры (троянцы - накрутчики рекламы) и даже руткиты.

В активной разработке

Symantec отмечает, что впервые xHelper попал в поле видимости компании в марте 2019 г. На тот момент это был довольно простой с технической точки зрения накрутчик рекламы. В последнее время, однако, функциональность троянца резко возрасла, и в Symantec убеждены, что его разработка по-прежнему ведётся очень активно.

Как именно троянец попадает на заражённые устройства, пока остаётся тайной. В приложениях в официальном магазине Google Play его сэмплов не обнаружено. Что означает, что пользователи скачивали заражённые им приложения откуда-то ещё. В Symantec, однако, подозревают, что троянец может скачиваться на смартфоны через какие-то приложения, предустанавливаемые на устройства определённых брендов (каких именно, в Symantec не уточнили).

«Наша телеметрия показывает, что эти приложения (связанные с xHelper - прим. CNews) устанавливаются чаще прочего на конкретные бренды, и это заставляет нас предположить, что злоумышленники заинтересованы в конкретных марках мобильных устройств. Нам кажется маловероятным, впрочем, что xHelper предустанавливается на смартфоны, учитывая, что у эти приложения не являются системными вовсе. Вдобавок множество пользователей жалуется на постоянное присутствие вредоносной программы на их устройствах, несмотря на сброс настроек до заводских и ручную переустановку. И поскольку эти вредоносные приложения не являются системными, есть основания полагать, что некое приложение, являющееся системным - и вредоносным - постоянно скачивает троянец. Сейчас мы занимаемся расследованием этой версии», - говорится в публикации Symantec.

«Версия выглядит вполне правдоподобной, во всяком случае, в теории, - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Вполне вероятно, что кто-то скомпрометировал программные репозитории с предустанавливаемыми на определённые марки смартфонов приложениями, и заложил в них вредоносную функциональность. Надо сказать, это весьма эффективный способ препятствовать любым попыткам удалить троянец. По крайней мере, до тех пор, пока не выяснится, что за системное приложение себя так ведёт, и в нём ли дело вообще».

Пока точная причина повторных заражений неизвестна, Symantec даёт базовые рекомендации по борьбе с проблемой: не устанавливать приложения из непроверенных источников, обзавестись антивирусом, внимательно смотреть, какие приложения каких разрешений требуют, как можно чаще обновлять всё, что подлежит обновлению и регулярно резервировать важные данные.

Роман Георгиев

Короткая ссылка