الأخبار التكنولوجية والاستعراضات والنصائح!

كشف النقاب عن كيفية إعادة تثبيت برامج xHelper Android Malware حتى بعد إعادة ضبط المصنع


تذكر xHelper؟

جزء غامض من برامج Android الضارة يعيد تثبيت نفسه على الأجهزة المصابة حتى بعد حذف المستخدمين له أو إعادة ضبط أجهزتهم في المصنع – مما يجعل من المستحيل إزالته تقريبًا.

أفادت تقارير أن xHelper أصاب أكثر من 45000 جهاز العام الماضي ، ومنذ ذلك الحين ، يحاول باحثو الأمن السيبراني الكشف عن كيفية نجاة البرامج الضارة من إعادة ضبط المصنع وكيف أصاب العديد من الأجهزة في المقام الأول.

إزالة البرامج الضارة xhelper

في منشور مدونة نشر اليوم ، حل إيجور جولوفين ، محلل البرامج الضارة في Kaspersky ، اللغز أخيرًا من خلال الكشف عن التفاصيل الفنية حول آلية الثبات التي يستخدمها هذا البرنامج الضار ، وفي النهاية اكتشف أيضًا كيفية إزالة xHelper من جهاز مصاب بالكامل.

بصفته ناقل الهجوم الأولي وللتوزيع ، يتنكر تطبيق البرامج الضارة على أنه تطبيق منظف شائع وتحسين سرعة smartphones – يؤثر بشكل كبير على المستخدمين في روسيا (80.56٪) والهند (3.43٪) والجزائر (2.43٪).

"ولكن في الواقع ، لا يوجد شيء مفيد في ذلك: بعد التثبيت ، يختفي" المنظف "ببساطة ولا يمكن رؤيته على الشاشة الرئيسية أو في قائمة البرنامج. لا يمكنك رؤيته إلا من خلال فحص قائمة التطبيقات المثبتة قال غولوفين في إعدادات النظام ".

بمجرد تثبيته من قبل مستخدم غير مرغوب فيه ، يقوم التطبيق الضار بتسجيل نفسه كخدمة أمامية ثم يستخرج حمولة مشفرة تجمع وترسل معلومات هوية الجهاز المستهدف إلى خادم ويب بعيد يتحكم به المهاجم.

كيفية إزالة البرامج الضارة xhelper من الروبوت

في الخطوة التالية ، ينفذ التطبيق الضار حمولة أخرى مشوشة تؤدي إلى تشغيل مجموعة من عمليات استغلال جذر Android ومحاولات الوصول الإداري إلى نظام تشغيل الجهاز.

وقال جولوفين "يمكن للبرامج الضارة الوصول إلى الجذر بشكل أساسي على الأجهزة التي تعمل بنظامي Android 6 و 7 من الشركات الصينية (بما في ذلك ODMs)".

تجلس البرامج الضارة بصمت على الجهاز وتنتظر أوامر من المهاجمين. وفقًا لتحليل سابق لنفس البرامج الضارة من قبل باحثي سيمانتك ، فإنه يستخدم تثبيت شهادة SSL لمنع اعتراض اتصالاته.

"تقوم البرامج الضارة بتثبيت باب خلفي مع القدرة على تنفيذ الأوامر كمستخدم خارق. فهي توفر للمهاجمين حق الوصول الكامل إلى جميع بيانات التطبيق ويمكن استخدامها من قبل البرامج الضارة الأخرى أيضًا ، على سبيل المثال ، CookieThief."

إذا نجح الهجوم ، فإن التطبيق الضار يسيء استخدام امتياز الجذر لتثبيت xHelper بصمت عن طريق نسخ ملفات الحزمة الخبيثة مباشرة إلى قسم النظام (مجلد / system / bin) بعد إعادة تركيبه في وضع الكتابة.

وقال جولوفين: "يتم تعيين السمة غير القابلة للتغيير لجميع الملفات الموجودة في المجلدات الهدف ، مما يجعل من الصعب حذف البرامج الضارة لأن النظام لا يسمح حتى للمستخدمين الخارقين بحذف الملفات بهذه السمة".

ما هو أكثر إثارة للاهتمام هو أنه على الرغم من أنه يمكن لتطبيق الأمان الشرعي أو المستخدم المتأثر إعادة تركيب قسم النظام ، بنفس الطريقة ، لحذف ملف البرامج الضارة نهائيًا ، يقوم xHelper أيضًا بتعديل مكتبة النظام (libc.so) التي تهدف إلى منع الإصابة المستخدمين من إعادة تركيب قسم النظام في وضع الكتابة.

قال Golovin: "علاوة على ذلك ، يقوم Trojan بتنزيل وتثبيت العديد من البرامج الخبيثة الأخرى ، ويحذف تطبيقات التحكم في الوصول إلى الجذر ، مثل Superuser".

وفقًا لـ Kaspersky ، يمكن أن يؤدي استبدال المكتبة المعدلة بالمكتبة من البرامج الثابتة الأصلية لهاتفك الذكي الذي يعمل بنظام Android إلى إعادة تمكين قسم نظام التثبيت في وضع الكتابة لإزالة برامج xHelper Android الضارة بشكل دائم.

ومع ذلك ، بدلاً من اتباع هذا الإجراء الماهر للتخلص من البرامج الضارة ، يُنصح المستخدمون المتأثرون ببساطة بإعادة فلاش هواتفهم الخلفية بنسخة جديدة من البرامج الثابتة التي تم تنزيلها من الموقع الرسمي للبائعين أو عن طريق تثبيت نسخة مختلفة ولكن متوافقة ROM الروبوت.