Новая версия «неубиваемого» трояна xHelper, который в 2019 г. поразил десятки тысяч смартфонов жителей России, США и Индии, снова инфицирует Android-устройства. Специалисты считают, что находить дорогу обратно в «чистую» систему вредоносу невольно помогает магазин Google Play, но не понимают, как именно.
xHelper возвращается
Специалисты по безопасности из компании Malwarebytes обнаружили опасную вредоносную программу, которая в течение часа повторно появляется на устройствах, с которых ранее была удалена.
Это уже вторая версия вредоноса xHelper, который поражает электронику под управлением операционной системы Android. Традиционные методы борьбы с мобильными вирусами и троянами в случае с ним оказываются бессильны. По данным экспертов Malwarebytes, не помогает даже полный сброс устройства к заводским настройкам, часто являющийся панацеей.
Несмотря на то, что специалистам из Malwarebytes в конечном счете удалось избавить один из зараженных образцов от «неубиваемого» трояна, механизм его постоянного «перерождения» по-прежнему остается не до конца понятным.
Загадочный механизм переустановки
По словам представителей ИБ-компании, косвенное отношение к распространению может иметь Google Play. Во всяком случае, сервис упоминался в качестве источника повторной установки xHelper. Однако, как отмечают специалисты, это может быть лишь «дымовой завесой», скрывающей реальный источник заражения, так как никаких приложений из магазина Google на исследуемом экземпляре установлено не было, как и не было заражено приложение Google Play.
Поскольку прочие эксперименты с зараженным образцом в режиме отладки не привели к успеху, команда исследователей полностью отключила Google Play в настройках, что, к удивлению Malwarebytes, дало положительный результат – более вредонос в системе не появлялся.
Исследователи выдвинули предположение, что повторное заражение может вызывать что-то, расположенное во внутреннем хранилище гаджета – ведь пользовательские файлы при сбросе настроек к заводским сохраняются.
На практике в скрытом каталоге com.mufc.umbtts действительно был обнаружен файл с расширением APK (упакованное приложение для Android), предназначенный для установки другой версии xHelper (ее назвали Android/Trojan.Dropper.xHelper.VRW). Она в свою очередь, загружает и устанавливает, собственно, наблюдаемую в системе оригинальную версию вредоноса.
Загвоздка, однако, заключалась в том, что обнаружить эту версию на смартфоне в установленном виде экспертам не удалось. Они считают, что программа ведет себя хитро: устанавливается, запускается, а затем автоматически удаляет себя и заметает за собой следы в считанные секунды, таким образом, избегая обнаружения.
Тем не менее, специалисты до сих пор не понимают, что именно выступает сигналом к установке. Это «что-то», по их мнению, связано с Google Play и требует дальнейшего изучения.
На данным момент владельцам зараженных устройств Malwarebytes
рекомендует просканировать его антивирусной программой, предварительно
отключив Google Play. Это позволит полностью удалить xHelper.
Несколько слов об xHelper
xHelper впервые попал в поле зрение специалистов весной 2019 г., а в августе того же года эксперты Malwarebytes опубликовали отчет, в котором говорилось о том, что вредонос уже успел заразить около 35 тыс. устройств.
В октябре Symantec сообщила, что в среднем жертвами xHelper становится 131 устройство ежедневно, а число зараженных девайсов достигло 45 тыс. преимущественно в России, Индии и США.
xHelper представляет собой вредоносную программу, которая относится к категории так называемых дропперов. Его функциональность сводится к незаметной установке ряда других, более опасных приложений – например, банковских троянов или вымогателей. Кроме того, вредонос может демонстрировать своим жертвам всплывающую рекламу и уведомления с предложением установить прочие программы из Google Play.
Еще первая версия xHelper обладала высоким уровнем «живучести». Первая версия программы, попав в систему, устанавливала себя как отдельную автономную службу. В результате этого удаление приложения не позволяло полностью избавиться от назойливой рекламы.
Как именно троян попадает на зараженные устройства, в Symantec тогда объяснить не смогли. В приложениях в официальном магазине Google Play его сэмплов специалисты не обнаружили. В компании подозревали, что вредонос может скачиваться на смартфоны через какие-то приложения, предустанавливаемые на устройства определенных, нередко малоизвестных, брендов.
Check Point Research в своем отчете Global Threat Index за ноябрь 2019 г. назвала xHelper самой распространенной угрозой месяца и поместила его на восьмое место в топ-10 вредоносных программ.