Bí mật xHelper - phần mềm độc hại 'bất tử' trên Android

Các chuyên gia đã giải mã được cơ chế “không thể gỡ bỏ” ngay cả khi khôi phục cài đặt gốc của xHelper và tìm ra cách loại bỏ phần mềm độc hại này.

Xuất hiện vào tháng 3/2019, xHelper đã lây nhiễm trên hơn 45.000 thiết bị Android. Loại malware này khiến các chuyên gia bảo mật phải đau đầu vì nó dường như “bất tử” trước các phần mềm diệt virus, có thể tự cài đặt lại khi bị gỡ bỏ hay reset (khôi phục cài đặt gốc) máy.

Cho tới nay, xHelper chưa gây ra ảnh hưởng nghiêm trọng tới người dùng như đánh cắp thông tin, mà chỉ “khủng bố” bằng hàng loạt thông báo spam quảng cáo. Đa phần các nạn nhân ở Nga, Mỹ, Ấn Độ và Algeria. Chưa có bằng chứng xHelper từng được cung cấp trên Google Play.

Bi mat xHelper - phan mem doc hai 'bat tu' tren Android hinh anh 1 malware_2.jpg

xHelper giả dạng phần mềm dọn dẹp và tối ưu tốc độ smartphone phổ biến, sau khi cài đặt sẽ lộ nguyên hình là ứng dụng độc hại có thể "tự hồi sinh" ngay khi bị gỡ bỏ. Ảnh: Getty.

Mới đây các chuyên gia Kaspersky Lab đã giải mã được bí mật về cơ chế của chương trình và tìm ra cách loại bỏ nó.

Đầu tiên, malware này giả dạng làm một phần mềm dọn dẹp và tôi ưu tốc độ smartphone. Nhưng sau khi cài đặt, chương trình tự động biến mất không để lại dấu vết trên màn hình hay danh mục phần mềm. Điều này khiến người dùng khó tìm ra nó để gỡ bỏ. Cách duy nhất để tìm thấy là kiểm tra danh sách các ứng dụng đã cài đặt trong phần cài đặt hệ thống.

Sau khi cài đặt, xHelper tự thiết lập một backdoor (cửa sau) được điều khiển từ xa bởi các tin tặc. Sau đó, chương trình kích hoạt một lệnh khai thác Android và đoạt quyền quản trị trong hệ điều hành. Backdoor được tạo ra có quyền truy cập vào các dữ liệu nhạy cảm, bao gồm cookie trình duyệt được sử dụng để đăng nhập tự động vào các website.

Theo Igor Golovin, một chuyên gia phân tích phần mềm độc hại của Kaspersky, việc tái nhiễm xHelper sau khi gỡ bỏ phần mềm hoặc reset máy là do một loại mã độc trojan có tên Triada. Triada chiếm quyền superuser (hay còn gọi là quyền Adminstrator của Windows) và cài đặt một loạt các tệp độc hại trực tiếp vào phân vùng hệ thống.

Các tệp này được thiết lập ở chế độ chỉ đọc (read-only), ngụy trang giữa các tệp hệ thống được đăng ký thuộc tính bất biến, khiến chúng rất khó bị xóa vì hệ thống Android không cho phép gỡ bỏ các file dạng này. Tuy nhiên, cơ chế tự vệ này vẫn có thể bị xóa bởi lệnh chattr. Đây là loại lệnh dùng để khóa tệp về chế độ read-only nên có thể sử dụng chính nó để mở chế độ write (ghi) rồi xóa.

Thậm chí xHelper xóa tất cả các ứng dụng liên quan đến root (ví dụ như Superuser) và không cho phép người dùng gỡ bỏ ngay cả khi có quyền. Chưa hết, nó tự sửa đổi các thư viện Android để ngăn việc cài lại phân vùng trong chế độ Ghi hệ thống.

Vậy làm thế nào để loại bỏ xHelper?

Như đã nói ở trên, thao tác gỡ bỏ thông thường sẽ không thể loại bỏ được hoàn toàn các tệp ẩn của xHelper trên hệ thống. Chương trình com.diag.patches.vm8u được cài đặt trong phân vùng hệ thống sẽ giúp xHelper “hồi sinh” ngay khi có cơ hội.

Nhưng nếu điện thoại có Recovery Mode (Chế độ Khôi phục), người dùng có thể thử trích xuất tệp libc.so từ chương trình cơ sở gốc (original firmware) và thay thế tệp bị nhiễm độc bằng nó trước khi xóa tất cả các phần mềm độc hại khỏi phân vùng hệ thống.

Điều đáng chú ý là phần mềm độc hại này chủ yếu lây nhiễm với các phiên bản Android cũ như 6 và 7, trên một số loại “smartphone fake” của Trung Quốc. Một cách khác để loại bỏ vĩnh viễn xHelper khỏi máy dễ dàng hơn là cài đặt lại, nâng cấp máy bằng một phiên bản hệ điều hành chuẩn tải từ nhà cung cấp hoặc flash ROM với một bản tương thích.

 
Chủ đề : bảo mật
 
List comment
 
Microsoft chặn tính năng 'reply-all' để tránh bão email
icon

Microsoft đang triển khai tính năng mới, chặn “reply-all” trong Office 365 và Exchange Online. Tính năng này được thiết kế nhằm ngăn chặn các cơn bão email đổ bộ không cần thiết vào hộp thư đến của người dùng.

 
Doanh thu tháng 4 MediaTek sụt giảm 4,67% so với cùng kỳ năm ngoái
icon

Nhà sản xuất bộ vi xử lý đến từ Đài Loan, MediaTek đã công bố báo cáo tài chính tháng 4 năm 2020 cho thấy, doanh thu đạt được khoảng 688 triệu USD, giảm 4,67% so với cùng kỳ năm trước.

 
12 bộ, tỉnh đã cán mốc cung cấp 30% dịch vụ công trực tuyến mức 4
icon

Chính phủ tại Nghị quyết 17 ngày 7/3/2019 đã yêu cầu các bộ, ngành, địa phương phải đạt mục tiêu cung cấp 30% dịch vụ công trực tuyến mức 4 trong năm 2020. Đến nay, đã có 5 bộ và 7 tỉnh, thành phố hoàn thành mục tiêu này.

 
Thị trường máy tính xách tay toàn cầu ít bị ảnh hưởng bởi Covid-19
icon

Báo cáo nghiên cứu mới phát hành bởi Công ty nghiên cứu chiến lược toàn cầu Strategy Analytics cho thấy, trong quý đầu tiên của năm 2020, các lô hàng máy tính xách tay toàn cầu đạt 37,9 triệu chiếc, chỉ giảm 2% so với cùng kỳ năm trước.

 
Chế độ dark mode trên Facebook đến với mọi người dùng toàn cầu
icon

Facebook vừa công bố giao diện thiết kế mới của mạng xã hội trên máy tính, theo đó chế độ dark mode đã đến với mọi người dùng toàn cầu.

 
[Chùm ảnh vui] Chết cười với các “thánh cosplay giá rẻ” tận dụng mọi đồ vật trong nhà để mô phỏng lại những cảnh phim bom tấn
icon

Không tốn quá nhiều tiền đạo cụ, và cũng chẳng cần kĩ năng chụp ảnh bá đạo, những 'thánh cosplay' này vẫn có thể tạo ra những cảnh phim Hollywood một cách đầy hài hước và không kém phần ấn tượng.

Phiên bản iOS mới có thể cứu mạng người dùng
icon

Phiên bản iOS 13.5 được bổ sung tính năng tự động gửi thông tin ID Y tế của người dùng trong trường hợp khẩn cấp.

Robot chó nhắc người dân Singapore giãn cách xã hội
icon

Thay vì sủa ầm ĩ, những chú chó robot tại Singapore lịch sự đề nghị người đi bộ, đạp xe tại công viên giãn cách theo quy định.

Cung cấp dịch vụ công trực tuyến hỗ trợ người dân gặp khó khăn do Covid-19
icon

Văn phòng Chính phủ vừa đề nghị Chủ tịch UBND các tỉnh, thành phố chỉ đạo triển khai ngay một số việc để đảm bảo cung cấp dịch vụ công trực tuyến hỗ trợ các đối tượng khó khăn do đại dịch Covid-19 đúng đối tượng, nhanh chóng, thuận tiện.

Cách gõ nhanh các biểu tượng cảm xúc Facebook bằng ký tự đặc biệt
icon

Người dùng mạng xã hội thường muốn có thêm sự khác biệt bằng những biểu tượng cảm xúc tạo bởi các dấu câu và ký tự đặc biệt.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123