Malware Android ‘irremovível’ infectou 45 mil telefones

06/11/2019 mindsecblog Notícias 5

Malware Android ‘irremovível’ infectou 45 mil telefones. Trojan Xhelper Android não é apenas furtivo, mas também prolífico e capaz de se reinstalar depois que os usuários o desinstalam

Não é incomum que os usuários de smartphones Android sejam alvo de malware, o que não surpreende, já que existem mais de 2,5 bilhões de dispositivos Android ativos por aí. Os cibercriminosos sempre seguirão o dinheiro, e mais usuários significam mais oportunidades de infectar.

O que é um malware irremovível para Android?

Segundo os pesquisadores de segurança da Symantec, o Trojan Xhelper Android não é apenas furtivo, mas também prolífico. Um relatório da Symantec afirmou que a empresa de segurança “observou um aumento nas detecções“, do malware que pode ocultar aos usuários e baixar aplicativos maliciosos adicionais. O aspecto mais preocupante do Xhelper, no entanto, é que ele é persistente. “Ele é capaz de se reinstalar depois que os usuários o desinstalam“, disseram os pesquisadores, acrescentando que o malware continua reaparecendo mesmo depois que os usuários o desinstalam manualmente. Além do mais, de acordo com o relatório da pesquisa, mesmo uma redefinição de fábrica completa não pode impedir o Xhelper de reaparecer.

O Xhelper não fornece uma interface de usuário comum. O malware é um componente de aplicativo, o que significa que não será listado no iniciador de aplicativos do dispositivo. Isso facilita para o malware executar suas atividades maliciosas disfarçadas.

O que o malware Xhelper Android faz?

O próprio Xhelper está oculto no iniciador de dispositivos Android, pois é um componente do aplicativo, tornando mais fácil passar despercebido. É iniciado por eventos externos, incluindo a conexão do dispositivo a uma fonte de alimentação e a instalação de um aplicativo.

“Uma vez lançado, o malware se registrará como um serviço em primeiro plano“, disse o pesquisador, “diminuindo as chances de ser morto quando a memória estiver baixa“. De fato, parece que ele também reinicia o serviço automaticamente, caso seja interrompido, para aumentar a sua natureza persistente.

A carga maliciosa liberada pelo Xhelper se conectará a um servidor de comando e controle para aguardar novos pedidos. Essa comunicação também está oculta do usuário e de seu software de segurança usando a fixação de certificados SSL para impedir a interceptação. Esses “pedidos adicionais” incluem o fornecimento de cargas úteis adicionais, como conta-gotas de malware e rootkits, para permitir a aquisição completa do dispositivo infectado.

Como o Xhelper pode sobreviver a uma redefinição de fábrica?

O maior quebra-cabeça da perspectiva da segurança é como qualquer malware pode sobreviver a uma redefinição de fábrica. Afinal, a menos que fizesse parte do firmware do smartphone, uma redefinição de fábrica o limparia por completo do dispositivo.

O relatório da Symantec parece remover essa possibilidade: “Acreditamos que é improvável que o Xhelper seja pré-instalado em dispositivos, pois esses aplicativos não têm indicação de serem aplicativos do sistema“. A explicação mais provável dada no relatório é que outro aplicativo separado faz o download persistente do malware.

O pesquisadores May Ying Tee, engenheiro de software da Symantec e um dos autores do relatório, disse a Forbes que “o malware não sobrevive tecnicamente à redefinição de fábrica“. Em vez disso, diz Ying Tee, “acreditamos que ele pode ter sido excluído e posteriormente reinstalado por outro malware, dando assim a percepção de sobreviver à redefinição de fábrica“.

Como você pode impedir que seu dispositivo Android seja infectado?

Como John Opdenakker, um hacker ético, diz: “são as más práticas de segurança que colocam o usuário novamente em problemas“. Se eles estão reinstalando os mesmos aplicativos que antes da redefinição de fábrica, incluindo os de outras fontes que não a Google Play Store oficial, podemos suspeitar que ele esteja certo.

“Isso destaca o risco de instalar aplicativos fora das lojas oficiais de aplicativos“, diz Sean Wright, especialista em segurança de aplicativos, “minha recomendação é instalar aplicativos apenas através das lojas oficiais, a menos que você saiba com certeza a validade do aplicativo em questão“.

Segundo a Symantec nenhuma das amostras analisadas estava disponível na Google Play Store e, embora seja possível que o malware Xhelper seja baixado por usuários de fontes desconhecidas, a Symantec acredita que esse pode não ser o único canal de distribuição.

A Symantec recomenda os usuários a tomar as seguintes precauções:

Mantenha seu software atualizado.
Não faça o download de aplicativos de sites desconhecidos.
Instale apenas aplicativos de fontes confiáveis.
Preste muita atenção às permissões solicitadas pelos aplicativos.
Instale um aplicativo de segurança móvel adequado para proteger seu dispositivo e dados.
Faça backups frequentes de dados importantes.