Det kallas otäckt – oj, återinfektionen av det hela – och lömskt av goda skäl:det är allt det där, känd för huvudvärkskådare som xHelper, vilket visar sig inte vara till någon hjälp alls när man väl smittats. Skadlig programvara xHelper identifierades som en trojansk droppare.

En trojansk droppare? Den installerar skadliga APK-filer på din telefon utan din vetskap eller tillåtelse, sa TechRadar .

Nathan Collier, skadlig programvara analytiker, Malwarebytes, ett företag som, som namnet antyder, arbetar med cybersäkerhet, känner till första hand om denna malware-dropper och dess ihållande användning av återinfektionstaktik.

Android Trojan xHelper är hur otäckt? Collier skrev att "Detta är den överlägset otäckaste infektionen jag har stött på som forskare med mobil skadlig programvara." Hans arbete fick honom alltid att tro att, även om det sista alternativet, en fabriksåterställning kan lösa även den värsta infektionen.

Inte den här gången.

Faktiskt, sa Collier, företaget visste om detta redan 2019. Så småningom, rapporterade Dan Goodin in Ars Technica , Malwarebytes skulle komma att lära sig genom sin Android antivirus app upptäckt att xHelper var på 33, 000 enheter "mest belägna i USA, gör skadlig programvara till ett av de främsta Android-hoten."

Tänk på rapporten från Symantec i oktober 2019.

"Symantec har observerat en ökning av detektioner för en skadlig Android-applikation som kan dölja sig för användare, ladda ner ytterligare skadliga appar, och visa reklam."

Symantec spikade sin förmåga att installera om sig själv även efter att användarna har avinstallerat det. Symantec sa att den var designad för att hålla sig dold. Det skulle inte visas på systemets startprogram.

"Appen har infekterat över 45, 000 enheter under de senaste sex månaderna." Allra i början, skadlig kod var relativt enkel, men med tiden ändrades koden. "Initialt, skadlig programvaras förmåga att ansluta till en C&C-server skrevs direkt in i själva skadlig programvara, men senare flyttades denna funktionalitet till en krypterad nyttolast, i ett försök att undvika signaturupptäckt. Vissa äldre varianter inkluderade tomma klasser som inte implementerades vid den tiden, men funktionen är nu helt aktiverad. Som beskrivits tidigare, Xhelpers funktionalitet har utökats drastiskt på senare tid."

Senast i november 2019, Bruce Schneier in Säkerhetsboulevard visste att detta inte var lätt att försöka hitta den skyldige. "Det är en konstig skadlig programvara, ", anmärkte han. "Denna nivå av uthållighet talar till en nationalstatlig aktör. Den kontinuerliga utvecklingen av skadlig programvara innebär en organiserad aktör. Men att skicka oönskade annonser är alldeles för bullrigt för all seriös användning. Och infektionsmekanismen är ganska slumpmässig. Jag vet bara inte."

Under tiden, Collier förde sina läsare till den senaste tiden, när "en tekniskt kunnig användare kontaktade oss i början av januari 2020 på Malwarebytes supportforum:'Jag har en telefon som är infekterad med xhelper-viruset. Den här ihärdiga smärtan kommer bara tillbaka."

På nytt, otäckheten låg i dess uthållighet. Collier rapporterade att "Malwarebytes för Android hade redan framgångsrikt tagit bort två varianter av xHelper och en trojansk agent från hennes mobila enhet. Problemet var, det fortsatte att komma tillbaka inom en timme efter borttagning. xHelper återinfekterade om och om igen."

Collier sa att denna aspekt av xHelper sticker ut för honom eftersom han inte kunde komma ihåg en tid då en infektion kvarstod efter en fabriksåterställning om inte enheten kom med förinstallerad skadlig programvara.

Till skillnad från appar, kataloger och filer finns kvar på den mobila Android-enheten även efter en fabriksåterställning. Därför, tills katalogerna och filerna tas bort, enheten kommer att fortsätta att bli infekterad. "Lyckligtvis, Jag fick Amelias hjälp, som var lika ihärdig som xHelper själv med att hitta ett svar och vägleda oss till vår slutsats."

Den skyldige? År 2020, Collier gjorde framsteg. Han undersökte och detta är vad han hittade. "Gömt i en katalog med namnet com.mufc.umbtts fanns ännu ett Android-applikationspaket (APK). APK-filen i fråga var en trojansk dropper som vi omgående döpte Android/Trojan.Dropper.xHelper.VRW. Den är ansvarig för att ta bort en variant av xHjälpare, som sedan släpper mer skadlig programvara inom några sekunder."

Mer av mysteriet sveper in:Ingenstans på enheten syntes det att Trojan.Dropper.xHelper.VRW var installerat. "Det är vår övertygelse att den installerade, sprang, och avinstalleras igen inom några sekunder för att undvika upptäckt – allt av något utlöst från Google PLAY. "Hur" bakom detta är fortfarande okänt."

Lyckligtvis, Collier skrev om steg att följa, för att adressera xHelper. Han hade detaljerade instruktioner. Collier rekommenderade först och främst att installera gratis Malwarebytes för Android.

Han sa att han skulle installera en filhanterare från Google PLAY som hade förmågan att söka efter filer och kataloger. Amelia använde File Manager av ASTRO. Collier sa att han skulle inaktivera Google PLAY tillfälligt, för att stoppa återinfektion. Fler instruktioner följer i listan.

Collier avslutade med att ta sina läsare in i den större bilden:vi kan ha gått in i en ny era inom mobil skadlig programvara. "Möjligheten att återinfektera med hjälp av en dold katalog som innehåller en APK som kan undvika upptäckt är både skrämmande och frustrerande. Vi kommer att fortsätta att analysera denna skadliga programvara bakom kulisserna. Under tiden, vi hoppas att detta åtminstone avslutar kapitlet i just denna variant av xHelper."

Cat Ellis, TechRadar :"Om du börjar se nya app- och aviseringsikoner som du inte känner igen, det finns en chans att din telefon har blivit infekterad med den här typen av skadlig programvara, även om det inte alltid är självklart; skadlig programvara är ofta förklädd som legitima systemapplikationer, och ikonerna kan gömmas undan."

© 2020 Science X Network