No ano passado, o malware xHelper deu trabalho para especialistas em cybersegurança. Apelidado de “malware imortal”, o software malicioso - que roubava os dados dos usuários, abria portas para outras ameaças e permanecia no aparelho mesmo após um hard reset - teve seu comportamento destrinchado por especialistas da Kaspersky.
Comparado com as tradicionais bonecas russas, o xHelper foi informalmente nomeado como “cavalo de troia matriosca”. Igor Golovin, especialista responsável pelo estudo, detalhou no blog da companhia russa todo o sistema que garantia as permissões root ao perigoso malware.
A ação começava no download de um aplicativo de uma modalidade conhecida: limpeza e otimização de performance para Android. Depois de instalado, o app se escondia na lista de programas do aparelho e não era listado no menu de atalhos do celular.
xHelper é parecido com a brincadeira da boneca russa.Fonte: VisualHunt
Em questão de segundos, a aplicação é criptografada e envia dados do aparelho para o servidor dos atacantes. Nesse instante, o celular é exposto a mais um cavalo de troia, acompanhado pelo malware Trojan-Downloader.AndroidOS.Leech.p, responsável pelo download do HEUR:Trojan.AndroidOS.Triada.dd — que provê privilégios de root ao xHelper, permitindo que se instale na partição de sistema do smartphone.
No fim do processo, pelo menos 11 outros softwares maliciosos se envolvem na invasão. Depois de concluída, o xHelper se livra de aplicações com o mesmo nível de privilégios na configuração do Android — como o Superuser, dificultando ainda mais sua remoção.
Limpeza complicada
Já que o xHelper é capaz de reaparecer mesmo após a formatação por meio de um script infiltrado nos arquivos do sistema, se livrar do xHelper implica na edição de um arquivo do firmware original do aparelho e substituir seu equivalente na unidade infectada. No entanto, o processo é complexo para usuários inexperientes e pode inutilizar o celular por completo caso algo dê errado.
Golovin, então, sugere uma solução mais simples: a redefinição do celular e a instalação do sistema usando o reflasher. Por fim, uma última alternativa seria a instalação de ROMs customizadas — que se assemelha ao reflasher, mas optando por outra distribuição Android na reinstalação.
O relatório completo sobre o comportamento do xHelper está disponível para consulta no blog da Kaspersky (somente em inglês). Se você é curioso da área, vale a pena conferir.
Fontes
Categorias