45.000 Android uređaja zaraženo je novim zlonamernim softverom xHelper

nov 01 2019 /

45.000 Android uređaja zaraženo je novim zlonamernim softverom xHelper

Nova vrsta Androidovog zlonamernog softvera, koja se može samostalno ponovo instalirati i nakon ručnog uklanjanja, navodno je zarazila više od 45.000 Android uređaja u poslednjih šest meseci.

Najnovije otkriće, koje je objavila kompanija za sajber bezbednost Symantec, dolazi nakon sličnog objavljivanja MalwareBytesa koji je prvi put uočio zlonamerni softver u maju 2019. godine.

Nazvan xHelper, trojanski virus pogađa većinu korisnika u Indiji, SAD-u i Rusiji. Dospeo je na listu top 10 mobilnih zlonamernih softvera, a Symantec je istakao ono što naziva “ogromnim brojem otkrića” zlonamernog softvera, na Androidima, koji se može sakriti od korisnika, preuzimati dodatne zlonamerne aplikacije i prikazivati reklame.

“Samo u proteklih mesec dana u proseku je svakodnevno bio zaražen 131 uređaj, a prosečno 2400 uređaja koji su uporno zaraženi tokom meseca”, saopštila je kompanija. Vredno je napomenuti kako je MalwareBytes označio broj pogođenih telefona na 33.000, što sugeriše nagli rast u nešto više od dva meseca.

Tajanstveno poreklo

Dok se istražuje poreklo zlonamerne aplikacije softvera xHelper, Symantec sumnja da se korisnici mogu zaraziti iz nepoznatog izvora putem sistemske aplikacije koja uporno preuzima ovaj softver, usprkos tome što korisnici vraćaju uređaje na fabrička podešavanja i ručno ga deinstaliraju.

Sa druge strane, istraživači MalwareBytesa veruju kako se širi putem sumnjivih web-lokacija na kojima su igrice koje prevarom teraju korisnike da preuzmu aplikacije iz nepouzdanih izvora treće strane.

Osim što neprimetno deluje u pozadini, xHelper svoje nepokolebljivo ponašanje dovodi do novih visina ne stvarajući ikonu aplikacije ili ikonu prečice na početnom ekranu uređaja. Jedini pokazatelj njegove prisutnosti je ime na popisu u odeljku sa informacijama o aplikacijama postavki na zaraženom telefonu.

Nedostatak ikone aplikacije znači da zlonamerni softver ne može da se pokrene ručno. Ali kako bi rešio taj problem, oslanja se na spoljne okidače – poput spajanja ili skidanja zaraženog uređaja sa punjenja, ponovnog pokretanja uređaja, kao i instaliranja ili deinstaliranja aplikacije – kako bi se pokrenuo kao prednji servis koji minimizuje šansu da bude uništen.

Od adwarea do potencijalne pretnje

Dobra vest je što zlonamerni softver ne radi ništa posebno sofisticirano, osim što bombarduje vlasnike uređaja nametljivim pop-ap oglasima i šalje uređaju obaveštenja o besplatnim igricama. Ali to bi se moglo vešto iskoristiti za isporuku dodatnih opterećenja zlonamernog softvera tokom druge faze, s obzirom na pomno izrađenu taktiku izbegavanja otkrivanja.

To bi lako moglo da zlonamerni softver pretvori iz neprijatnosti do značajne bezbednosne pretnje koja bi mogla da instalira druge zlonamerne programe na uređaj ili da čak daljinski u potpunosti preuzme uređaj.

Symantec je rekao da se xHelper-ova funkcionalnost u poslednje vreme drastično povećala, iako istraživači upozoravaju da se stalno razvija kako bi ciljao nove žrtve. Nedovršeni kod – s mnogim varijablama označenim kao “Jio” – naveo je istraživače da sumnjaju da napadači možda planiraju da ciljaju Jio korisnike u budućnosti.

Za one koji nisu upoznati, Jio je druga najveća mobilna mreža u Indiji kojom upravlja Reliance Industries i ima preko 300 miliona pretplatnika.

Da biste zaštitili svoje uređaje od takvih napada, uvek se preporučuje da uređaje i aplikacije ažurirate, držite se Google Play prodavnice za preuzimanje aplikacija i budete izuzetno oprezni prema mobilnim web lokacijama koje posetite.