اخبار امنیت

تروجان اندرویدی xHelper

۲۲ اردیبهشت ۱۳۹۹

تروجان اندرویدی xHelper

یکی از مخرب‌ترین بدافزارهای اندرویدی

تروجان اندرویدی xHelper یکی از مخرب‌ترین بدافزارهای اندرویدی است که در سال ۲۰۱۹ توانست در مدت ۶ ماه بیش از ۴۵٫۰۰۰ دستگاه اندرویدی را آلوده کند. بدافزاری که خود را درون دستگاه اندرویدی قربانی مخفی نموده و منجر به دانلود برنامه‌های مخرب دیگر یا نمایش تبلیغات آزاردهنده خواهد شد. این بدافزار بیشتر، کاربران کشورهای هند، ایالات متحده امریکا و روسیه را هدف قرار داده است. بدافزار xHelper برای پایداری خود در دستگاه قربانی، حتی پس از حذف توسط کاربر نیز دوباره دستگاه را آلوده می‌کند و به گونه‌ای طراحی شده است که از دید کاربر پنهان بماند. این بدافزار اندرویدی رابط گرافیکی مشخصی ندارد و به همین دلیل حتی در لیست برنامه‌های لانچر تلفن همراه نیز مشاهده نمی‌گردد. به جای آن با هر رویداد خارجی از قبیل شارژ نمودن دستگاه، ریبوت تلفن همراه یا حذف و نصب نمودن سایر برنامه‌ها، این بدافزار نیز اجرا می‌گردد. سپس بدافزار از طریق یک ارتباط امن SSL با سرور فرمان و کنترل (C&C) خود ارتباط می‌گیرد و قادر است انواع بدافزارها از قبیل dropper، clicker یا rootkitها را بر روی تلفن همراه قربانی بارگذاری نماید.

اخیرا گونه جدیدی از این بدافزار اندرویدی توسط Malwarebytes شناسایی شده که رفتار متفاوتی نسبت به نسخه‌های قبلی دارد.

تروجان اندرویدی xHelper از تکنیک آلوده‌سازی مجدد برای پایداری خود استفاده می‌کند.

این بدافزار برای اولین بار در ماه می ۲۰۱۹ کشف شد. بدافزاری مخرب و مخفی! مدتی بعد تصور می‌شد که فعالیت بدافزار خاتمه یافته است تا اینکه کاربری به نام Amelia misspaperwait در انجمن Malwarebytes مشکل آلودگی به این تروجان را دوباره مطرح نمود. او که ظاهراً از دانش مطلوبی در زمینه فناوری اطلاعات برخوردار بود حاضر بود به هر طریقی تلفن همراه خود را به حالت قبل برگرداند. ضمناً آنتی‌ویروس قبلاً دو گونه مختلف از این بدافزار را از تلفن همراه وی با موفقیت حذف کرده بود. اما مشکل اینجا بود که یک ساعت پس از حذف تروجان، مجدداً تلفن همراه آلوده می‌شد.


دستگاه فاقد آلودگی

Amelia تلفن همراه را به تنظیمات کارخانه بازگردانده بود. اما متأسفانه این کار بی‌نتیجه بود. در این شرایط تنها برنامه کاربردی‌های پیش‌فرض موبایل به همراه آنتی‌ویروس نصب بودند بنابراین فرضیه آلوده‌سازی توسط برنامه کاربردی‌های قبلی رد می‌شد (یا حداقل متخصصین اینگونه فکر می‌کردند). همچنین آن‌ها وجود هرگونه بدافزار با دسترسی Admin که مانع حذف برنامه کاربردی‌های مخرب می‌شد را رد کردند. ضمناً تاریخچه مرورگر تلفن همراه قربانی را حذف کردند تا احتمال آلودگی از طریق دانلود ناخواسته برنامه‌های مخرب را از بین ببرند.

فرضیه همیشگی: بدافزار از پیش نصب شده

با توجه به اینکه تلفن همراه قربانی فاقد هرگونه بدافزار بود اما همچنان مجدداً توسط تروجان xHelper آلوده می‌شد، فرضیه اول متخصصین وجود یک بدافزار از پیش نصب شده بود. این فرضیه از آنجایی شکل گرفت که تلفن همراه قربانی توسط یک سازنده کمتر شناخته شده تولید شده بود. Amelia برای آزمایش این فرضیه، ابزار Android Debug Bridge (adb) را بر روی رایانه خود نصب نموده و تلفن همراه را بوسیله کابل به رایانه متصل نمود تا برنامه‌های سیستمی برای کاربر فعلی را حذف نماید. این روش برنامه‌های سیستمی را حتی اگر از لحاظ فنی مقیم دستگاه باشند نیز بی اثر می‌کند. در این روند، برنامه‌های سیستمی مشکوک از جمله برنامه بروزرسان موبایل و یک برنامه کاربردی مربوط به صدا که در VirusTotal علائم مخربی داشت، از تلفن همراه قربانی حذف شد. حتی تعدادی برنامه کاربردی که در سیستم تشخیص هوشمند ما نبود نیز توسط Amelia حذف شد. اما پایداری xHelper همچنان ادامه داشت.

برنامه کاربردی Google PLAY

متخصصین در خلال بررسی‌هایشان به نکته عجیبی برخوردند. ظاهراً منشأ بدافزار نصب شده از فروشگاه Google PLAY بود. این موضوع عجیب بود چراکه هیچ‌کدام از برنامه‌های مخرب تلفن همراه قربانی از Google PLAY نصب نشده بودند. بنابراین اپلیکشن Google PLAY را غیرفعال کردند و شاهد این بودند که آلودگی متوقف شد. پس از تحلیل Google PLAY متوجه شدند که این برنامه کاربردی آلوده به بدافزار نیست اما چیزی در داخل آن منجر به آلودگی مجدد تلفن همراه می‌شود. شاید چیزی در درون فضای ذخیره‌سازی دستگاه که قادر است از Google PLAY به عنوان پوشش استفاده کرده و منشأ بدافزار را Google PLAY جلوه دهد در صورتی منبع واقعی جای دیگری است. با این فرضیه از قربانی خواسته شد که به کمک یک Explorer قابل جستجو، فایل‌ها یا پوشه‌های مشکوکی که با عبارت com.mufc شروع می‌شوند را شناسایی کند.

منشأ آلودگی

بدافزار مخفی شده در پوشه com.mufc.umbtts گونه‌ جدیدی از تروجان اندرویدی xHelper بود که در عرض چند ثانیه بدافزارهای زیادی را بر روی دستگاه قربانی بارگذاری می‌کرد. محققین آنرا Android/Trojan.Dropper.xHelper.VRW نامگذاری کردند. اما بخش ناشناخته این تحلیل این بود که به نظر می‌رسید بدافزار Trojan.Dropper.xHelper.VRW در هیچ کجای دستگاه نصب نشده است. ما معتقدیم که این بدافزار برای جلوگیری از شناسایی، در عرض چند ثانیه نصب و سپس حذف شده است. تمام این فرآیندها به واسطه  Google PLAY صورت گرفته است. اما چگونگی آن هنوز ناشناخته است. ذکر این نکته مهم است که بر خلاف سایر برنامه‌ها، حتی با بازگشت به تنظیمات کارخانه هم این تروجان از تلفن همراه حذف نمی‌شود و تا زمان حذف کامل فایل‌ها و پوشه‌های حاوی بدافزار، آلودگی هم‌چنان ادامه خواهد داشت.

چطور از آلودگی دوباره به تروجان xHelper در امان بمانیم؟

برای جلوگیری از آلودگی به تروجان اندرویدی xHelper توصیه می‌گردد:

  • تمام برنامه‌های تلفن همراه را به‌روز نگه دارید.
  • هیچ نرم‌افزاری را از وب‌سایت‌های ناشناس دانلود نکنید.
  • تنها از منابع معتبر (مثل Google PLAY) برنامه‌ها را دانلود و نصب کنید.
  • در هنگام نصب نرم‌افزارها، به مجوزهای دسترسی هر نرم‌افزار دقت کنید.
  • برای حفاظت از اطلاعات خود، نرم‌افزار امنیتی مناسب از قبیل Kaspersky Internet Security بر روی تلفن همراه خود نصب کنید.

از اطلاعات مهم خود به طور منظم پشتیبان تهیه کنید.

نحوه حذف دستی تروجان xHelper

  • ابتدا یک برنامه مدیریت فایل با قابلیت جستجوی فایل‌ها و پوشه‌ها (مثل ASTRO) نصب کنید.
  • برای جلوگیری از آلودگی مجدد، موقتاً برنامه Google PLAY را متوقف کنید. برای این‌کار به مسیر  Settings >  Apps >  Google Play Storeبروید و گزینه Disable را انتخاب کنید.
  • یکبار تلفن همراه را از طریق آنتی‌ویروس اسکن کنید. حذف دستی بدافزار xHelper ممکن است دشوار باشد اما این بدافزار در قسمت برنامه‌ها با اسامی fireway، xhelper و Settings مشاهده می‌گردد.
  • برنامه مدیریت فایل را باز کرده و بدنبال مواردی بگردید که با عبارت com.mufc شروع می‌شوند.
  • در صورت یافتن، تاریخ آخرین تغییرات را یادداشت کنید. برای اینکار می‌توانید فایل‌ها را بر اساس تاریخ مرتب کنید.
  • هر چیزی که با عبارت com.mufc شروع می‌شود و هر موارد دیگری که با آن همزمان هستند (به جز پوشه‌های اصلی مثل Downloads) را حذف کنید.
  • برنامه Google PLAY را مجدداً فعال کنید. برای این کار همان مسیر گفته شده در بالا را دوباره طی کنید و اینبار گزینه Enable را بزنید.

بدافزارهای اندرویدی وارد مرحله جدیدی شده‌اند

این بدترین تجربه در مواجهه با بدافزارهای اندرویدی بود. چراکه معمولاً گزینه بازگشت به تنظیمات کارخانه به عنوان راهکار نهایی، حتی بدترین آلودگی‌ها را از تلفن همراه حذف می‌کند مگر در مواردی که بدافزار از پیش نصب شده بر روی دستگاه وجود داشته باشد. خوشبختانه در این مورد، قربانی به اندازه کافی در یافتن راه حل اصرار داشت و منجر به رفع مشکل گردید.

به هر حال این موضوع، عصر جدیدی در زمینه بدافزارهای موبایلی قلمداد می‌گردد. توانایی آلوده‌سازی مجدد تلفن همراه از طریق یک پوشه مخفی حاوی فایل APK که از شناسایی توسط آنتی‌ویروس‌ها جلوگیری می‌کند می‌تواند ترسناک و ناامیدکننده باشد.

آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی

برای مشاوره و کسب اطلاعات بیشتر با ما تماس بگیرید

تعداد بازدید: 89


تازه ترین ها