
Троян часто маскируется под приложение для очистки и ускорения смартфона. После его установки пользователю может показаться, что произошла ошибка — троян не появляется в меню программ, а найти его можно только в списке установленных приложений в меню настроек. Программа обращается к командному серверу, отправляет информацию об устройстве и загружает следующий вредоносный модуль. Сценарий повторяется несколько раз, получается своего рода матрешка, в которой ключевой элемент — это вредоносное ПО AndroidOS.Triada.dd, содержащее набор эксплойтов для получения прав суперпользователя.
С наибольшей вероятностью программе удастся получить root-доступ на китайских смартфонах под управлением Android 6 и 7. После успешного взлома устройства троян перемонтирует системный раздел (изначально доступный только в режиме чтения) и внедряет туда еще один набор вредоносных программ. Добавление команды на запуск исполняемых файлов в скрипт для первого запуска ОС позволяет трояну восстановиться даже после сброса настроек. Другие опции меняются так, чтобы впоследствии затруднить подключение системного раздела для удаления вредоносного ПО. В том числе модифицируется системная библиотека libc.so.
Способности xHelper в исследовании подробно не описаны, так как практически безграничны. В зараженном мобильном устройстве присутствует бэкдор, а оператор может выполнять любые действия с правами суперпользователя. Атакующие имеют доступ к данным всех приложений и могут загружать другие вредоносные модули — например, для угона учетных записей сетевых сервисов. Лечение смартфона — сложный процесс. В теории можно загрузить устройство в Recovery Mode, можно попытаться вернуть на место оригинальную версию библиотеки libc.so, что позволит удалить вредоносные модули из системного раздела. На практике проще перепрошить смартфон, хотя исследователи отмечают, что некоторые распространяемые в сети прошивки уже содержат xHelper.
Что еще произошло
ИБ в условиях эпидемии. Компании Google и Apple совместно разработают сервис, который позволит определить, пересекались ли вы с носителем коронавируса (
Сервис веб-конференций Zoom
Разработчики WhatsApp для борьбы с фейками про коронавирус (и другими «цитатами из интернета») теперь
В программном комплексе VMware Directory Service (vmdir) обнаружена (
Компания Sophos