XHelper, finalmente abbiamo capito il segreto di questo malware “immortale”

Negli ultimi 6 mesi i ricercatori avevano scoperto xHelper, un nuovo malware per Android particolarmente fetente: è in grado di sopravvivere anche in caso di factory reset.

Buio totale, i ricercatori fino a poco tempo fa non erano ancora riusciti a capire come facesse xHelper a resistere al factory reset, continuando a rendere vulnerabile il device infettato anche dopo il ripristino della memoria.

In linea di massima, quando si cancella tutta la memoria di uno smartphone riportandolo alle sue condizioni originali, l’operazione fa tabula rasa eliminando anche eventuali app malevole installate. Ma non era questo il caso di xHelper.

Il malware in questione si è diffuso rapidamente, pur senza raggiungere un numero di device infettati esorbitante: si parla di 45.000 smartphone, con una media di 131 nuovi casi al giorno. Peraltro xHelper è stato osservato soprattutto in India, negli USA e in Russia — l’azione in Europa è tutto sommato marginale.

xHelper infetta i device grazie ai reindirizzanti web: l’utente viene portato su alcuni siti malevoli, con l’obiettivo di persuaderlo a scaricare app per Android non ufficiali.

App che nascondono le linee di codice che portano all’installazione, all’insaputa dell’utente, del trojan.

xHelper è resistente, ma non particolarmente pericoloso

La buona notizia è che nonostante l’apparente “indistruttibilità” del malware, la sua azione non è particolarmente pericolosa. xHelper si limita a bombardare l’utente di ads malevoli e spam. Certo, ads che virtualmente potrebbero portare l’utente ad installare altri malware, ma di fatto questo non dovrebbe succedere. La maggior parte dei banner portano l’utente infettato su delle pagine del Play Store di Google assolutamente legittime. I criminali in questo caso guadagnano ogni volta che la vittima scarica o acquista un’app, attraverso le commissioni.

Ma arriviamo al punto: come fa il malware a sopravvivere ai factory reset? L’app che fa da vettore d’attacco a xHelper riesce ad ottenere all’insaputa della vittima gli accessi di root, creando in questo modo un rogue folder direttamente all’interno dei file di sistema.

In questo modo viene creato un installer direttamente all’interno della partizione di sistema, e al codice incaricato di scaricare ad ogni factory reset il malware viene data l’attributo di “immutabile”, il che ne impedisce l’eliminazione anche usando i poteri di superuser.

• The secret behind “unkillable” Android backdoor called xHelper has been revealed (arstechnica.com)