Новости Российских пользователей Android терзает сверхживучий троян.

[Собака]

Троянец xHelper, попав на смартфон, загружает целую гирлянду других троянцев. Выбить его из зараженного устройства сложно, а иногда и невозможно вовсе; он выживает даже после жесткого сброса настроек.







Троян и его друзья

Эксперты «Лаборатории Касперского» описали «неубиваемый» троянец для ОС Android, который устанавливает целую гроздь других вредоносов и восстанавливается даже после отката мобильного устройства к заводским настройкам. Троянец-дроппер xHelper атакует преимущественно пользователей из России — более 80% заражений приходится на нашу страну.


Вредонос xHelper был впервые описан экспертами Symantec еще в октябре 2019 г. А обнаружен он был еще раньше.


Троянец маскируется под популярное приложение для очистки и ускорения работы смартфона. Если жертва имела неосторожность установить себе этот «очиститель», он не появляется ни на главном экране, ни в меню программ. Увидеть его можно, только заглянув в список установленных приложений в настройках системы.


После установки троянца запускается длинная цепочка последовательных скачиваний, расшифровок и запусков других троянцев-дропперов: Agent.of, за ним Helper.b, далее Leech.p и наконец Triada.dd. Последний оснащен набором эксплойтов для получения прав root на устройстве жертвы. Под угрозой главным образом оказываются устройства под управлением Android 6 и 7. К настоящему моменту заражены около 45 тыс. устройств.

Невыбиваемый вредонос

Triada перемонтирует системный раздел и устанавливает в систему дополнительные вредоносные модули, в частности, троянец Tiny.d (com.diag.patches.vm8u) и «рекламомет» Necro.z, удаляет приложения для управления root-доступом (такие как Superuser), а также выставляет атрибут immutable на все свои файлы, так что даже с правами суперпользователя их невозможно удалить.


«Однако с этим методом самозащиты троянца можно бороться: нужно перед удалением файла снять данный атрибут командой chattr», — говорится в описании «Касперского».

Экстремально неудаляемый троян терроризирует российских Android-пользователей

Попытки пользователя перемонтировать системный раздел, чтобы снести Triada, результатов не дадут: троянец модифицирует системную библиотеку /system/lib/libc.so, в которой содержится общий код, используемый практически всеми исполняемыми файлами на устройстве. «Triada подменяет своим кодом в libc функцию mount, использующуюся для монтирования файловых систем, и таким образом запрещает пользователю монтирование раздела /system в режиме записи», — написали эксперты «Касперского».


Избавиться от всей этой «гирлянды» очень непросто. Приложение com.diag.patches.vm8u, установленное в системный раздел, заново установит xHelper и другое вредоносное ПО, как только представится возможность. Даже после жесткого сброса настроек.


В публикации «Касперского» указывается, что может помочь кастомная среда восстановления Android (Recovery): вы можете попытаться достать файл libc.so из оригинальной прошивки и заменить им зараженный, а затем удалить все вредоносное ПО из системного раздела. Однако проще и надежнее полностью перепрошить телефон.


«При этом стоит учитывать, что иногда в прошивках атакуемых xHelper смартфонов встречается предустановленное вредоносное ПО, которое самостоятельно скачивает и устанавливает приложения (в том числе и xHelper). Тогда и перепрошивка будет бесполезна, и стоит посмотреть в сторону альтернативных прошивок для вашего устройства. В случае их использования следует иметь в виду: корректная работа всех компонентов устройства не гарантирована», — уточнили эксперты, добавив, что бэкдор, который устанавливается при посредстве xHelper, может выполнять команды от имени суперпользователя и предоставит злоумышленникам полный доступ к данным всех приложений. Так что зараженным смартфоном очень опасно пользоваться.

Вопрос источников

«Хотя в публикации “Касперского” об этом прямо не говорится, известно, что xHelper распространяется через неофициальные репозитории приложений, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Скачивать что-либо из неофициальных магазинов — небезопасная затея. Троянец xHelper заметно выделяется на общем фоне и тем, что его чрезвычайно трудно удалить, и тем, какое количество “друзей” он приводит за собой. В принципе, застраховаться от этой угрозы довольно просто: достаточно не устанавливать ничего откуда бы то ни было (особенно хорошо известные приложения, которые злоумышленники будут имитировать в первую очередь), кроме GooglePlay.


Ранее эксперты Malwarebytes опубликовали инструкцию по удалению xHelper с помощью их собственной бесплатной утилиты. Специалисты Malwarebytes установили, что каким-то пока неизвестным образом xHelper использует некие функции официального GooglePlay для собственной переустановки после сброса настроек.


Устранить троянец все же удалось. После установки Malwarebytesfor Android (бесплатного антивируса), необходимо установить файловый менеджер из GooglePlay (например, Astro) и временно отключить GooglePlay вовсе (Settings > Apps > GooglePlayStore — Disable).


Затем нужно проверить устройство антивирусной утилитой, а потом вручную удалить то, что может остаться. Для этого надо зайти в Appsinfo и ликвидировать все, что наименовано fireway, xhelper, а также дубликат Settings («Настройки»), если таковой имеется.


Потом надо открыть файловый менеджер и удалить все, что начинается с com.mufc. Перед удалением стоит отметить дату последнего изменения, и потом удалить вообще всё, что имеет ту же дату, кроме папки Download. Затем можно реактивировать GooglePlay.


У Malwarebytes этот рецепт сработал, хотя они отмечают, что вероятность сохранения инфекции остается. Но необходимо иметь в виду, что эти инструкции были опубликованы в феврале 2020 г., и вполне вероятно, что троянец с тех пор мог стать еще назойливее.

 

[GLOV]

Специалисты «Лаборатории Касперского» опубликовали отчет, посвященный вредоносу для Android xHelper. Исследователи выяснили, каким образом троян сумел получить репутацию «неудаляемого», и что именно обеспечивает ему такую выживаемость.

«Неубиваемый» троян
Впервые xHelper был замечен ИБ-специалистами весной 2019 года, и первый подробный отчет о проблеме появился в августе, когда эксперты

Для просмотра ссылки необходимо нажать Вход или Регистрация

сообщили, что малварь заразила уже 35 000 устройств.


Осенью 2019 года появился

Для просмотра ссылки необходимо нажать Вход или Регистрация

вредоноса, уже опубликованный специалистами компании Symantec, которые утверждали, что количество инфицированных устройств уже перевалило за 45 000, и в среднем xHelper заражает 131 новую жертву в день (около 2400 новых жертв в месяц), большинство из которых были обнаружены в Индии, США и России.

Основным источником заражений выступают редиректы и подозрительные сайты, которые переадресуют пользователей на страницы с приложениями для Android. Такие сайты подробно инструктируют пользователя, как загрузить приложения не из Google Play, а скрытый в приложениях код в итоге приводит к загрузке xHelper.

Но самая интересная особенность xHelper состоит в том, что он ведет себя не так, как большинство Android-малвари. Дело в том, что для удаления xHelper недостаточно даже сброса устройства к заводским настройкам, и единственным доступным для пострадавших вариантом остается полная перепрошивка зараженного девайса (что возможно далеко не всегда).

Более того, и в 2019 году эксперты Malwarebytes и Symantec так и не смогли понять, каким образом xHelper «выживает» после упомянутых выше действий. Вмешательство трояна в работу системных приложений и служб обнаружено не было, а в Symantec считали, что xHelper вряд ли предустановлен на устройствах «из коробки», хотя малварь действительно чаще появляется на устройствах конкретных брендов.

Уже в феврале текущего года аналитики Malwarebytes

Для просмотра ссылки необходимо нажать Вход или Регистрация

, что xHelper каким-то образом эксплуатирует процесс внутри Google Play Store для инициации переустановки, а сброс к заводским настройкам малварь переживает при помощи специальных каталогов, которые создает на устройстве и где скрывает свой APK. Дело в том, что в отличие от приложений, каталоги и файлы сохраняются на устройстве даже после сброса к заводским настройкам. И предполагалось, что после сброса Google Play Store выполняет какую-то пока неопределенную операцию, после чего xHelper переустанавливается и вновь появляется в системе.

xHelper и «матрешка» из троянов
Теперь посвященный xHelper

Для просмотра ссылки необходимо нажать Вход или Регистрация

опубликовали специалисты «Лаборатории Касперского». Они отмечают, что активность малвари не снижается до сих пор, и сообщают радостную новость: эксперты выяснили, каким образом авторы xHelper обеспечили своему детищу почти беспрецедентную выживаемость.

Аналитики пишут, что троян, как правило, маскируется под популярное приложение для очистки и ускорения работы смартфона, однако на деле не несет никакой полезной функциональности: после установки такой «очиститель» просто исчезает, и найти его нельзя ни на главном экране, ни в меню программ. Увидеть его можно, только заглянув в список установленных приложений в настройках системы.

Полезная нагрузка xHelper зашифрована в файле /assets/firehelper.jar, и так как от версии к версии ее шифрование практически не менялось, специалисты расшифровали ее без труда. Главная функция пейлоада заключается в отправке информации о телефоне жертвы (android_id, производитель, модель, версия прошивки и так далее) на адрес злоумышленников: https://lp.cooktracking[.]com/v1/ls/get и загрузке следующего вредоносного модуля — Trojan-Dropper.AndroidOS.Agent.of.

Для просмотра ссылки необходимо нажать Вход или Регистрация

Расшифровка URL для отправки информации об устройстве
Этот вредонос, в свою очередь, расшифровывает и запускает собственную полезную нагрузку, используя для этого идущую в комплекте нативную библиотеку, — такой подход затрудняет анализ модуля. На этом этапе расшифровывается и запускается следующий дроппер — Trojan-Dropper.AndroidOS.Helper.b. Он, в свою очередь, запускает зловред Trojan-Downloader.AndroidOS.Leech.p, который и отвечает за дальнейшее инфицирование устройства.

Основой и единственной задачей Leech.p является скачивание малвари HEUR:Trojan.AndroidOS.Triada.dd (небезызвестный банкер

Для просмотра ссылки необходимо нажать Вход или Регистрация

) с набором эксплоитов для получения root-прав на устройстве жертвы.

Для просмотра ссылки необходимо нажать Вход или Регистрация

Скачивание Triada
Все вредоносные файлы последовательно сохраняются в папку данных приложения, к которой другие программы не имеют доступа. Такая «матрешка» позволяет авторам запутывать следы и использовать известные защитным решениям вредоносные модули. Получить root-права малвари удается в основном на устройствах под управлением Android версий 6 и 7 китайских производителей (в том числе ODM). А после получения прав xHelper может устанавливать вредоносные файлы прямо в системный раздел.

Специалисты отмечают, что системный раздел монтируется при старте системы в режиме «только для чтения». Благодаря root-правам троян перемонтирует его в режим записи и приступает к основным действиям: запускает скрипт с говорящим названием forever.sh. В ход идут известные трюки Triada, в том числе и перемонтирование системного раздела для установки на него своих приложений. В данном случае устанавливается пакет com.diag.patches.vm8u, который «Лаборатория Касперского» отслеживает как Trojan-Dropper.AndroidOS.Tiny.d.

В результате папку /system/bin копируется несколько исполняемых файлов:

• patches_mu8v_oemlogo — Trojan.AndroidOS.Triada.dd;
• debuggerd_hulu — AndroidOS.Triada.dy;
• kcol_ysy — HEUR:Trojan.AndroidOS.Triada.dx;
• /.luser/bkdiag_vm8u_date — HEUR:Trojan.AndroidOS.Agent.rt.

Еще несколько файлов копируется в папку /system/xbin:

• diag_vm8u_date;

Вызов файлов из папки xbin добавляется в файл install-recovery.sh, что позволяет Triada запускаться при старте системы. На все файлы в целевых папках устанавливается атрибут неизменяемости (immutable), что затрудняет удаление малвари: система не позволяет удалять файлы с данным атрибутом даже суперпользователю. Однако с этим методом самозащиты трояна можно бороться: нужно перед удалением файла снять данный атрибут командой chattr.

Возникает вопрос: если вредоносное ПО может перемонтировать системный раздел на запись, чтобы скопировать себя в него, может ли пользователь пойти по тому же пути и удалить вредоноса? Авторы Triada тоже задались этим вопросом и в результате применили еще один защитный прием — модификацию системной библиотеки /system/lib/libc.so. Эта библиотека содержит в себе общий код, который используется практически всеми исполняемыми файлами на устройстве. Triada подменяет своим кодом в libc функцию mount, использующуюся для монтирования файловых систем, и таким образом запрещает пользователю монтирование раздела /system в режиме записи.

В довершение всего троян скачивает и устанавливает на устройство еще несколько вредоносных приложений (например, HEUR:Trojan-Dropper.AndroidOS.Necro.z), а также удаляет приложения для управления root-доступом, такие как Superuser.

Для просмотра ссылки необходимо нажать Вход или Регистрация

Установка приложений без участия пользователяКак же избавиться от xHelper?
Из вышесказанного следует, что простым удалением xHelper невозможно избавиться от всей заразы, засевшей в системе. Приложение com.diag.patches.vm8u, установленное в системный раздел, заново установит xHelper и другое вредоносное ПО при первом удобном случае.

Если устройстве установлена кастомная среда восстановления Android, можно попытаться достать файл libc.so из оригинальной прошивки и заменить им зараженный, а затем удалить все вредоносное ПО из системного раздела. Однако проще и надежнее будет полностью перепрошить девайс, как уже и было сказано в начале этой заметки.

При этом стоит учитывать, что иногда в прошивках атакуемых xHelper смартфонов встречается предустановленное вредоносное ПО, которое самостоятельно скачивает и устанавливает приложения (в том числе и xHelper). Тогда перепрошивка тоже будет бесполезна, и стоит посмотреть в сторону альтернативных прошивок для данного устройства.

Так или иначе, исследователи делают вывод, что использовать смартфон, зараженный xHelper, крайне опасно. Ведь на устройстве, по сути, присутствует бэкдор с возможностью исполнения команд от имени суперпользователя. Он предоставляет злоумышленникам полный доступ к данным всех приложений и может использоваться другими вредоносами, например такими, как CookieThief.