Prikaži glavni meni

Trojanac za Android xHelper za 4 meseca zarazio na desetine hiljada uređaja

Mobilni telefoni, 28.08.2019, 09:30 AM

Istraživači Malwarebytes Labsa otkrili su novog trojanca nazvanog xHelper koji se od maja ove godine polako ali uporno širio na sve više i više Android uređaja, i tako za četiri meseca zarazio više od 32000 pametnih telefona i tableta.

Trojanski dropperi kao što je xHelper su alati koje sajber-kriminalci koriste za isporuku drugih opasnijih vrsta malvera na već ugrožene uređaje, uključujući, klik-trojance, bankarske trojance i ransomware.

xHelper, nazvan i Android/Trojan.Dropper.xHelper, je za samo nekoliko meseci postao jedan od 10 najčešće detektovanih mobilnih malvera.

xHelper se širi preko DEX (Dalvik Executable) fajlova, kamufliranih u JAR fajlove.

Ovaj metod inficiranja Android uređaja je jedinstven s obzirom na to da bi većina mobilnih trojanskih droppera koristila APK u paketu sa zaraženom aplikacijom.

Šifrovani DEX fajlovi koje xHelper koristi kao deo svog procesa infekcije uređaja prvo se dešifruju, a zatim kompajliraju pomoću alata dex2oat u ELF format (Executable and Linkable Format).

Koristeći ovu tehniku, autori xHelpera drastično smanjuju šansu da njihov dropper bude otkriven koja im takođe pomaže da prikriju svoje prave namere i krajnji cilj.

Istraživači su dozvolili da malver zarazi Android uređaj kako bi ga analizirali. Međutim, oni kažu da je „teško precizno odrediti šta je cilj mobilnog malvera“. Oni smatraju da je njegova glavna funkcija da omogućiti da se komande šalju na mobilni uređaj.

Nakon analize svih uzoraka, istraživači su takođe otkrili da xHelper dolazi u dve različite verzije, jedna koja izvršava svoje zlonamerne zadatke u režimu pune nevidljivosti i druga koja je dizajnirana tako da polunevidljiva deluje kroz kompromitovane Android uređaje, istovremeno pokazujući neke nagoveštaje prisustva. Skrivena verzija izbegava kreiranje bilo kakvih ikona na zaraženom uređaju i ne prikazuje bilo kakve vrste upozorenja koja bi otkrila njegovo prisustvo. Druga verzija je vidljivija - ona ima ikonu u meniju sa obaveštenjima i prikazuje obaveštenja.

Nakon što dodirne neku od notifikacija, žrtva se preusmerava na web sajtove sa igrama u pregledaču koje, iako bezopasne, verovatno omogućavaju distributerima malvera da zarade od klikova.

xHelper ima sposobnost da brzo zarazi nove uređaje. Istraživači Malwarebytes Labsa pronašli su ga na skoro 33000 mobilnih uređaja koje je zarazio za samo četiri meseca i to uključuje samo Android uređaje na kojima je instaliran Malwarebytes za Android.

Kako kažu istraživači, broj kompromitovanih pametnih telefona i tableta povećava se svakodnevno, sa stotinama novozaraženih uređaja svakog dana.

Iako još uvek nije otkriven tačan vektor zaraze, analiza pokazuje da xHelper cilja uređaje u Sjedinjenim Državama. Istraživači Malwarebytes Labsa savetuju korisnicima da budu pažljivi tokom pregledavanja weba na Android uređaju, i da oprezno biraju mobilne web sajtove koje posećuju.