Malware Android ‘irremovível’ infectou 45 mil telefones

Malware Android ‘irremovível’ infectou 45 mil telefones. Trojan Xhelper Android não é apenas furtivo, mas também prolífico e capaz de se reinstalar depois que os usuários o desinstalam

Não é incomum que os usuários de smartphones Android sejam alvo de malware, o que não surpreende, já que existem mais de 2,5 bilhões de dispositivos Android ativos por aí. Os cibercriminosos sempre seguirão o dinheiro, e mais usuários significam mais oportunidades de infectar.

O que é um malware irremovível para Android?

Segundo os pesquisadores de segurança da Symantec, o Trojan Xhelper Android não é apenas furtivo, mas também prolífico. Um relatório da Symantec afirmou que a empresa de segurança “observou um aumento nas detecções“, do malware que pode ocultar aos usuários e baixar aplicativos maliciosos adicionais. O aspecto mais preocupante do Xhelper, no entanto, é que ele é persistente. “Ele é capaz de se reinstalar depois que os usuários o desinstalam“, disseram os pesquisadores, acrescentando que o malware continua reaparecendo mesmo depois que os usuários o desinstalam manualmente. Além do mais, de acordo com o relatório da pesquisa, mesmo uma redefinição de fábrica completa não pode impedir o Xhelper de reaparecer.

O Xhelper não fornece uma interface de usuário comum. O malware é um componente de aplicativo, o que significa que não será listado no iniciador de aplicativos do dispositivo. Isso facilita para o malware executar suas atividades maliciosas disfarçadas.

O que o malware Xhelper Android faz?

 

O próprio Xhelper está oculto no iniciador de dispositivos Android, pois é um componente do aplicativo, tornando mais fácil passar despercebido. É iniciado por eventos externos, incluindo a conexão do dispositivo a uma fonte de alimentação e a instalação de um aplicativo.

Uma vez lançado, o malware se registrará como um serviço em primeiro plano“, disse o pesquisador, “diminuindo as chances de ser morto quando a memória estiver baixa“. De fato, parece que ele também reinicia o serviço automaticamente, caso seja interrompido, para aumentar a sua natureza persistente.

A carga maliciosa liberada pelo Xhelper se conectará a um servidor de comando e controle para aguardar novos pedidos. Essa comunicação também está oculta do usuário e de seu software de segurança usando a fixação de certificados SSL para impedir a interceptação. Esses “pedidos adicionais” incluem o fornecimento de cargas úteis adicionais, como conta-gotas de malware e rootkits, para permitir a aquisição completa do dispositivo infectado.

Como o Xhelper pode sobreviver a uma redefinição de fábrica?

O maior quebra-cabeça da perspectiva da segurança é como qualquer malware pode sobreviver a uma redefinição de fábrica. Afinal, a menos que fizesse parte do firmware do smartphone, uma redefinição de fábrica o limparia por completo do dispositivo.

O relatório da Symantec parece remover essa possibilidade: “Acreditamos que é improvável que o Xhelper seja pré-instalado em dispositivos, pois esses aplicativos não têm indicação de serem aplicativos do sistema“. A explicação mais provável dada no relatório é que outro aplicativo separado faz o download persistente do malware.

O pesquisadores May Ying Tee, engenheiro de software da Symantec e um dos autores do relatório, disse a Forbes que “o malware não sobrevive tecnicamente à redefinição de fábrica“. Em vez disso, diz Ying Tee, “acreditamos que ele pode ter sido excluído e posteriormente reinstalado por outro malware, dando assim a percepção de sobreviver à redefinição de fábrica“.

Como você pode impedir que seu dispositivo Android seja infectado?

Como John Opdenakker, um hacker ético, diz: “são as más práticas de segurança que colocam o usuário novamente em problemas“. Se eles estão reinstalando os mesmos aplicativos que antes da redefinição de fábrica, incluindo os de outras fontes que não a Google Play Store oficial, podemos suspeitar que ele esteja certo.

Isso destaca o risco de instalar aplicativos fora das lojas oficiais de aplicativos“, diz Sean Wright, especialista em segurança de aplicativos, “minha recomendação é instalar aplicativos apenas através das lojas oficiais, a menos que você saiba com certeza a validade do aplicativo em questão“.

Segundo a Symantec nenhuma das amostras analisadas estava disponível na Google Play Store e, embora seja possível que o malware Xhelper seja baixado por usuários de fontes desconhecidas,  a Symantec acredita que esse pode não ser o único canal de distribuição.

A Symantec recomenda os usuários a tomar as seguintes precauções:

  • Mantenha seu software atualizado.
  • Não faça o download de aplicativos de sites desconhecidos.
  • Instale apenas aplicativos de fontes confiáveis.
  • Preste muita atenção às permissões solicitadas pelos aplicativos.
  • Instale um aplicativo de segurança móvel adequado para proteger seu dispositivo e dados.
  • Faça backups frequentes de dados importantes.
Fonte: Forbes & Symantec

Veja também:

 

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Plataforma Meu Vivo expõe dados de milhões de clientes
  2. Funcionário da Trend Micro vendeu dados de consumidores à scammers
  3. Microsoft alerta para cuidados com os ataques BlueKeep
  4. O Facebook por estar acessando secretamente a câmera do seu iPhone
  5. Falha no site do Bradesco permitia hackers modificarem a página

Deixe sua opinião!