Спецпроекты

Российских пользователей Android терзает сверхживучий троян. Он не удаляется после сброса к заводским настройкам

8660
Безопасность Техника Мобильность Маркет

Троянец xHelper, попав на смартфон, загружает целую гирлянду других троянцев. Выбить его из зараженного устройства сложно, а иногда и невозможно вовсе; он выживает даже после жесткого сброса настроек.

Троян и его друзья

Эксперты «Лаборатории Касперского» описали «неубиваемый» троянец для ОС Android, который устанавливает целую гроздь других вредоносов и восстанавливается даже после отката мобильного устройства к заводским настройкам. Троянец-дроппер xHelper атакует преимущественно пользователей из России — более 80% заражений приходится на нашу страну.

Вредонос xHelper был впервые описан экспертами Symantec еще в октябре 2019 г. А обнаружен он был еще раньше.

Троянец маскируется под популярное приложение для очистки и ускорения работы смартфона. Если жертва имела неосторожность установить себе этот «очиститель», он не появляется ни на главном экране, ни в меню программ. Увидеть его можно, только заглянув в список установленных приложений в настройках системы.

После установки троянца запускается длинная цепочка последовательных скачиваний, расшифровок и запусков других троянцев-дропперов: Agent.of, за ним Helper.b, далее Leech.p и наконец Triada.dd. Последний оснащен набором эксплойтов для получения прав root на устройстве жертвы. Под угрозой главным образом оказываются устройства под управлением Android 6 и 7. К настоящему моменту заражены около 45 тыс. устройств.

Невыбиваемый вредонос

Triada перемонтирует системный раздел и устанавливает в систему дополнительные вредоносные модули, в частности, троянец Tiny.d (com.diag.patches.vm8u) и «рекламомет» Necro.z, удаляет приложения для управления root-доступом (такие как Superuser), а также выставляет атрибут immutable на все свои файлы, так что даже с правами суперпользователя их невозможно удалить.

«Однако с этим методом самозащиты троянца можно бороться: нужно перед удалением файла снять данный атрибут командой chattr», — говорится в описании «Касперского».

smartfony600.jpg
Экстремально неудаляемый троян терроризирует российских Android-пользователей

Попытки пользователя перемонтировать системный раздел, чтобы снести Triada, результатов не дадут: троянец модифицирует системную библиотеку /system/lib/libc.so, в которой содержится общий код, используемый практически всеми исполняемыми файлами на устройстве. «Triada подменяет своим кодом в libc функцию mount, использующуюся для монтирования файловых систем, и таким образом запрещает пользователю монтирование раздела /system в режиме записи», — написали эксперты «Касперского».

Избавиться от всей этой «гирлянды» очень непросто. Приложение com.diag.patches.vm8u, установленное в системный раздел, заново установит xHelper и другое вредоносное ПО, как только представится возможность. Даже после жесткого сброса настроек.

В публикации «Касперского» указывается, что может помочь кастомная среда восстановления Android (Recovery): вы можете попытаться достать файл libc.so из оригинальной прошивки и заменить им зараженный, а затем удалить все вредоносное ПО из системного раздела. Однако проще и надежнее полностью перепрошить телефон.

«При этом стоит учитывать, что иногда в прошивках атакуемых xHelper смартфонов встречается предустановленное вредоносное ПО, которое самостоятельно скачивает и устанавливает приложения (в том числе и xHelper). Тогда и перепрошивка будет бесполезна, и стоит посмотреть в сторону альтернативных прошивок для вашего устройства. В случае их использования следует иметь в виду: корректная работа всех компонентов устройства не гарантирована», — уточнили эксперты, добавив, что бэкдор, который устанавливается при посредстве xHelper, может выполнять команды от имени суперпользователя и предоставит злоумышленникам полный доступ к данным всех приложений. Так что зараженным смартфоном очень опасно пользоваться.

Вопрос источников

«Хотя в публикации “Касперского” об этом прямо не говорится, известно, что xHelper распространяется через неофициальные репозитории приложений, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Скачивать что-либо из неофициальных магазинов — небезопасная затея. Троянец xHelper заметно выделяется на общем фоне и тем, что его чрезвычайно трудно удалить, и тем, какое количество “друзей” он приводит за собой. В принципе, застраховаться от этой угрозы довольно просто: достаточно не устанавливать ничего откуда бы то ни было (особенно хорошо известные приложения, которые злоумышленники будут имитировать в первую очередь), кроме GooglePlay.

Ранее эксперты Malwarebytes опубликовали инструкцию по удалению xHelper с помощью их собственной бесплатной утилиты. Специалисты Malwarebytes установили, что каким-то пока неизвестным образом xHelper использует некие функции официального GooglePlay для собственной переустановки после сброса настроек.

Устранить троянец все же удалось. После установки Malwarebytesfor Android (бесплатного антивируса), необходимо установить файловый менеджер из GooglePlay (например, Astro) и временно отключить GooglePlay вовсе (Settings > Apps > GooglePlayStore — Disable).

Затем нужно проверить устройство антивирусной утилитой, а потом вручную удалить то, что может остаться. Для этого надо зайти в Appsinfo и ликвидировать все, что наименовано fireway, xhelper, а также дубликат Settings («Настройки»), если таковой имеется.

Потом надо открыть файловый менеджер и удалить все, что начинается с com.mufc. Перед удалением стоит отметить дату последнего изменения, и потом удалить вообще всё, что имеет ту же дату, кроме папки Download. Затем можно реактивировать GooglePlay.

У Malwarebytes этот рецепт сработал, хотя они отмечают, что вероятность сохранения инфекции остается. Но необходимо иметь в виду, что эти инструкции были опубликованы в феврале 2020 г., и вполне вероятно, что троянец с тех пор мог стать еще назойливее.