XHelper, finalmente abbiamo capito il segreto di questo malware “immortale”

3 anni fa

Negli ultimi 6 mesi i ricercatori avevano scoperto xHelper, un nuovo malware per Android particolarmente fetente: è in grado di sopravvivere anche in caso di factory reset.

Buio totale, i ricercatori fino a poco tempo fa non erano ancora riusciti a capire come facesse xHelper a resistere al factory reset, continuando a rendere vulnerabile il device infettato anche dopo il ripristino della memoria.

In linea di massima, quando si cancella tutta la memoria di uno smartphone riportandolo alle sue condizioni originali, l’operazione fa tabula rasa eliminando anche eventuali app malevole installate. Ma non era questo il caso di xHelper.

Il malware in questione si è diffuso rapidamente, pur senza raggiungere un numero di device infettati esorbitante: si parla di 45.000 smartphone, con una media di 131 nuovi casi al giorno. Peraltro xHelper è stato osservato soprattutto in India, negli USA e in Russia — l’azione in Europa è tutto sommato marginale.

xHelper infetta i device grazie ai reindirizzanti web: l’utente viene portato su alcuni siti malevoli, con l’obiettivo di persuaderlo a scaricare app per Android non ufficiali.

App che nascondono le linee di codice che portano all’installazione, all’insaputa dell’utente, del trojan.

xHelper è resistente, ma non particolarmente pericoloso

La buona notizia è che nonostante l’apparente “indistruttibilità” del malware, la sua azione non è particolarmente pericolosa. xHelper si limita a bombardare l’utente di ads malevoli e spam. Certo, ads che virtualmente potrebbero portare l’utente ad installare altri malware, ma di fatto questo non dovrebbe succedere. La maggior parte dei banner portano l’utente infettato su delle pagine del Play Store di Google assolutamente legittime. I criminali in questo caso guadagnano ogni volta che la vittima scarica o acquista un’app, attraverso le commissioni.

Ma arriviamo al punto: come fa il malware a sopravvivere ai factory reset? L’app che fa da vettore d’attacco a xHelper riesce ad ottenere all’insaputa della vittima gli accessi di root, creando in questo modo un rogue folder direttamente all’interno dei file di sistema.

In questo modo viene creato un installer direttamente all’interno della partizione di sistema, e al codice incaricato di scaricare ad ogni factory reset il malware viene data l’attributo di “immutabile”, il che ne impedisce l’eliminazione anche usando i poteri di superuser.

 

 

Un abbonamento per hacker da 5.000$ mensili include 467 app per rubare dati
Un abbonamento per hacker da 5.000$ mensili include 467 app per rubare dati
Android: oltre 100.000 utenti hanno installato un malware che ruba le password
Android: oltre 100.000 utenti hanno installato un malware che ruba le password
Pegasus: l'arma informatica israeliana usata per spiare giornalisti, politici e dissidenti
Pegasus: l'arma informatica israeliana usata per spiare giornalisti, politici e dissidenti
Telegram: gli hacker lo usano sempre più per inviare malware
Telegram: gli hacker lo usano sempre più per inviare malware
Twitter, falla nella sicurezza sull'app Android
Twitter, falla nella sicurezza sull'app Android
Malware della Corea del Nord, il Pentagono ha scoperto sette nuove minacce
Malware della Corea del Nord, il Pentagono ha scoperto sette nuove minacce
SBrick.js: Robotica semplificata grazie a LEGO, SBrick e Web Bluetooth
SBrick.js: Robotica semplificata grazie a LEGO, SBrick e Web Bluetooth