2020/04/19

Malware xHelper para Android revela como sobrevive ao reset de fábrica


Investigadores conseguiram finalmente dissecar o pernicioso malware xHelper para Android e perceber como é que consegue resistir ao processo de reposição de todo o sistema.

Quando um smartphone fica infectado com malware, a acção natural é fazer-se um reset de fábrica para eliminar todas as apps e dados. No entanto, no caso dos equipamentos infectados pelo xHelper nem sequer isso era suficiente para se livrarem do malware - uma capacidade que intrigava utilizadores e investigadores.

Mas agora, é finalmente conhecido como o xHelper consegue sobreviver aos resets de fábrica.

O malware usa um rootkit que afecta principalmente versões já ultrapassadas do Android (Android 6 e 7) para obter acesso root, e quando o consegue fazer instala malware directamente na partição de sistema que normalmente é apenas de leitura. Mas, jogando pelo seguro, os ficheiros que lá coloca são marcados como "imutáveis", dificultando a tarefa de serem removidos até por utilizadores que tenham acesso root; e também altera o sistema Android de modo a impedir que monte a partição do sistema em modo de escrita - para além de desinstalar várias das apps mais conhecidas de root, como o Superuser.

O processo de recuperação passa portanto pela regravação de todo o firmware com uma nova imagem; mas há muitos ficheiros disponíveis na net que também já vêm com malware integrado que volta a reinstalar o xHelper. Os investigadores estimam que haja perto de 50 mil smartphones infectados com este malware, sendo que a única atenuante é a de que os utilizadores que usam smartphones com Android mais recentes (do Android 8 em diante), deverão estar a salvo.

2 comentários:

  1. Olá, então este malware, afeta versões desactualizados e com root. Versões recentes Android, sem root, não sofrem este tipo de problema, correto? Obrigado

    ResponderEliminar
    Respostas
    1. Não precisam ter root. O malware é que usa um rootkit para obter acesso root e se manter permanentemente no sistema. Neste caso está a atacar versões Android mais antigas e vulneráveis, mas o mesmo princípio aplica-se a todas as versões / plataformas - daí a necessidade de ter cuidado a tempo inteiro. :)

      Eliminar