شناسایی روشی برای نابودی XHELPER

کمیته رکن چهارم – دانشمندان امنیت سایبری روشی برای از بین بردن بدافزار اندرویدی معروف به XHELPER شناسایی کردند.

نزدیک به ۱۰ ماه طول کشید تا محققان امنیتی موفق به کشف روشی برای پاک‌سازی دستگاه‌های هوشمند اندرویدی از بدافزار xHepler شدند؛ بدافزاری که تا به حال حذف آن غیرممکن بود.

بدافزار xHelper نخستین‌بار در مارس ۲۰۱۹ توسط کاربران اندروید گزارش شد و حتی با برگشتن به تنظیمات کارخانه نیز حذف نمی‌شد. این برنامه مخرب روی گوشی تلفن همراه تبلیغات ناخواسته نمایش می‌دهد. منابعی که xHelper ممکن از آن بارگیری شده‌باشد به‌طور دقیق مشخص نیست، اما طبق گفته محققان امنیتی منبع اصلی، web redirectهایی بودند که کاربران را به صفحات وب مخرب هدایت می‌کردند. این صفحات مخرب امکان دانلود برنامه‌های اندرویدی مخرب را فراهم می‌کردند. درنهایت این برنامه‌های مخرب اندرویدی تروجان xHelper را دانلود و نصب می‌کنند.

بدافزار xHelper با هربار بازگشتن دستگاه اندرویدی به تنظیمات کارخانه حذف می‌شود، اما بعد از چند ساعت بدون نیاز به تعامل با کاربر مجدداً به صورت خودکار نصب می‌شود. تنها راه برای پاک‌سازی دستگاه از این بدافزار flash کردن دستگاه و نصب مجدد سیستم عامل اندروید بر روی آن است که البته اعمال این روش برای همه‌ کاربران ممکن نیست، چراکه اکثرا به طور صحیح به firmware image سیستم عامل اندرویدی دسترسی ندارند.

این بدافزار از فرایندی در برنامک Google Play Store برای نصب مجدد خود استفاده می‌کند؛ همچنین به کمک دایرکتوری‌های خاصی که در دستگاه اندرویدی می‌سازد فایل APK خود را روی دیسک ذخیره می‌کند تا امکان حذف آن از طریق بازگشت به تنظیمات کارخانه وجود نداشته‌باشد چرا که با بازگشت به تنظیمات کارخانه برنامه‌های دستگاه اندرویدی حذف می‌شود اما فایل‌ها و دایرکتوری‌ها باقی می‌مانند.

به گفته‌ Nathan Collier، محقق امنیتی در Malwarebytes، زمانی که برنامه Google Play Store عملیاتی شبیه به اسکن را شروع می‌کند، بدافزار، مجدداً و به‌صورت خودکار خود را نصب می‌کند.

با پنج قدم زیر می‌توان از نصب مجدد این بدافزار جلوگیری کرد:

۱. نصب برنامه مدیریت فایلی (file manager) که امکان جست‌وجوی فایل‌های و دایرکتوری‌ها را دارد.
۲. متوقف کردن موقت برنامه‌ Google Play Store برای جلوگیری از نصب مجدد xHelper
• مراجعه به قسمت تنظیمات -> برنامه‌ها -> Google Play Store
• فشردن دکمه غیرفعال (Disable)

۳. جست‌وجوی عبارت com.mufc در برنامه مدیریت فایل

۴. در صورت یافتن، فایل‌ها را به ترتیب تاریخ مرتب کرده و هر گروهی از فایل‌ها را که با com.mufc آغاز می‌شود و تاریخ یکسان دارند (به جز دایرکتوری‌های اصلی core مانند Download) حذف کنید.

۵. فعال کردن مجدد برنامه Google Play Store

منبع: مرکز ماهر