45 tys. smartfonów z Androidem ma trojana xHelper. Sam go nie usuniesz
Ponad 45 tys. urządzeń z Androidem zostało zainfekowanych trojanem xHelper w ciągu 6 miesięcy. Malware jest wyjątkowo groźny, gdyż nie da się go usunąć ręcznie. xHelper potrafi sam zainstalować się ponownie.
xHelper atakuje głównie smartfony w Rosji, Indiach i Stanach Zjednoczonych. Trojan został zaobserwowany po raz pierwszy w maju 2019 roku. Od tego czasu jego aktywność znacząco wzrosła. W październiku znalazł się na liście 10 najczęściej wykrywanych zagrożeń mobilnych, przygotowanej przez Symantec.
– W ciągu minionego miesiąca obserwowaliśmy średnio 131 infekowanych urządzeń dziennie. Stale zainfekowanych było średnio 2400 miesięcznie – pisze Symantec. Wcześniej MalwareBytes oszacował listę zainfekowanych urządzeń na 33 tysiące.
xHelper – jak działa?
xHelper może wypełniać różne zadania. Może ściągać kolejne szkodliwe komponenty oraz wyświetlać niechciane reklamy i powiadomienia o darmowych grach na zainfekowanym smartfonie. Na razie nie zaobserwowano bardziej inwazyjnych działań. Przede wszystkim trojan doskonale ukrywa się przed użytkownikami. O ile nie wyświetli reklamy, nie ma żadnych widocznych na pierwszy rzut oka śladów jego obecności. Zaawansowany użytkownik może go znaleźć na liście zainstalowanych aplikacji. Odinstalowanie go ręcznie nic nie daje – trojan ma sposoby, by wrócić.
Nie jest jasne, skąd pochodzi xHelper. Analitycy z MalwareBytes są zdania, że trojan jest rozprowadzany przez podrobione strony z grami. Użytkownicy są tam przekonywani do ściągania i instalowania aplikacji spoza dobrze znanych sklepów. Specjaliści Symanteca mają inną teorię. Ich zdaniem xHelper jest ściągany przez szkodliwą aplikację systemową. To tłumaczy, dlaczego przywrócenie ustawień fabrycznych także nie usuwa trojana z zainfekowanego systemu.
Malware jest uruchamiany przez zewnętrzne zdarzenia. Może to być podłączenie smartfonu do ładowarki, instalacja nowej aplikacji albo ponowne uruchomienie systemu. xHelper uruchamia się jako aktywna usługa, co zmniejsza prawdopodobieństwo, że uśpią go systemy oszczędzania energii Androida.
Pozostaje mieć nadzieję, że xHelper nie zostanie wykorzystany w bardziej złożonych atakach. Wyświetlanie reklam i powiadomień jest uciążliwe, ale nie zagraża naszej prywatności ani finansom. Nie oznacza to jednak, że xHelper nie zostanie w przyszłości wykorzystany do przeprowadzenia kolejnych etapów ataku – w końcu ma możliwość pobierania dodatkowych komponentów.
Analitycy zauważyli też, że trojan wciąż się rozwija. W jego kodzie jest mnóstwo niewykorzystanych zmiennych z ciągiem znaków Jio w nazwie. Możliwe, że xHelper przygotowuje teren pod większy atak, wymierzony przeciwko abonentom Jio – drugiego pod względem wielkości operatora telekomunikacyjnego w Indiach z 300 mln abonentów.
Chcesz być bezpieczny w sieci? Przed wieloma zagrożeniami ochroni cię BitDefender.
