Trong vài tháng qua, hàng trăm người dùng Android đã phàn nàn về một phần mềm độc hại bí ẩn mới, ẩn mình trên các thiết bị bị nhiễm và có thể tự cài đặt lại ngay cả sau khi người dùng xóa hoặc cài đặt lại thiết bị của họ.
Có tên là Xhelper, phần mềm độc hại đã lây nhiễm hơn 45.000 thiết bị Android chỉ trong sáu tháng qua và đang tiếp tục lây lan bằng cách lây nhiễm ít nhất 2.400 thiết bị trung bình mỗi tháng, theo báo cáo mới nhất được công bố vào hôm nay bởi Symantec.
Tôi đã thu thập các trích đoạn từ một số bình luận mà người dùng bị ảnh hưởng chia sẻ trên các diễn đàn trong khi hỏi cách xóa phần mềm độc hại Xhelper:
“Xhelper thường xuyên tự động cài đặt lại, hầu như mỗi ngày!”
“‘Mục ‘cài đặt ứng dụng từ các nguồn không xác định’ sẽ tự bật.”
“Tôi khởi động lại và cũng xóa sạch dữ liệu trong điện thoại của mình nhưng ứng dụng Xhelper vẫn quay trở lại.”
“Xhelper đã được cài đặt sẵn trên điện thoại đến từ Trung Quốc.”
“Không nên mua điện thoại thương hiệu giá rẻ.”
Phần mềm độc hại Android Xhelper đến từ đâu?
Mặc dù các nhà nghiên cứu Symantec không tìm thấy nguồn gốc chính xác mà ứng dụng độc hại Xhelper xuất hiện ngay từ đầu, công ty bảo mật đã nghi ngờ rằng một số ứng dụng độc hại được cài đặt sẵn trên thiết bị Android từ một số thương hiệu đã tải xuống và cài đặt phần mềm độc hại.
“Không có mẫu nào chúng tôi phân tích có sẵn trên Google Play Store và trong khi đó có thể phần mềm độc hại Xhelper được người dùng tải xuống từ các nguồn không xác định, chúng tôi tin rằng đó có thể đó không phải là kênh phân phối duy nhất”, các nhà nghiên cứu Symantec cho biết.
‘Chúng tôi đã thấy các ứng dụng này được cài đặt thường xuyên hơn trên một số thương hiệu điện thoại nhất định, điều này khiến chúng tôi tin rằng những kẻ tấn công có thể đang tập trung vào các thương hiệu cụ thể.”
Trong một báo cáo riêng được Malwarebytes công bố hai tháng trước, các nhà nghiên cứu tin rằng phần mềm độc hại Xhelper đang được lan truyền bởi “web redirects” hoặc “các trang web mờ ám khác” khiến người dùng tải xuống ứng dụng từ các nguồn của bên thứ ba không đáng tin cậy.
Phần mềm độc hại Xhelper hoạt động như thế nào?
Sau khi cài đặt, Xhelper không cung cấp giao diện người dùng thông thường; thay vào đó, nó được cài đặt như một thành phần ứng dụng không hiển thị trên trình khởi chạy ứng dụng của thiết bị nhằm ẩn giấu mình.
Để tự khởi chạy, Xhelper dựa vào một số sự kiện bên ngoài do người dùng kích hoạt, như kết nối hoặc ngắt kết nối thiết bị bị nhiễm khỏi nguồn điện, khởi động lại thiết bị hoặc cài đặt hoặc gỡ cài đặt.
Sau khi được khởi chạy, phần mềm độc hại sẽ kết nối với máy chủ và kiểm soát từ xa qua một kênh được mã hóa và tải xuống các payload bổ sung như droppers, clickers và rootkit trên các thiết bị Android bị xâm nhập.
Các nhà nghiên cứu cho biết: “Chúng tôi tin rằng phần mềm độc hại được lưu trữ trên máy chủ C & C rất lớn và đa dạng về chức năng, mang lại cho kẻ tấn công nhiều tùy chọn, bao gồm đánh cắp dữ liệu hoặc thậm chí là chiếm hoàn toàn thiết bị”.
Các nhà nghiên cứu tin rằng mã nguồn của Xhelper vẫn đang trong quá trình phát triển, vì một số “biến thể cũ hơn của nó bao gồm các class trống không được triển khai, nhưng các chức năng cơ bản nhất hiện đã được kích hoạt đầy đủ”.
Phần mềm độc hại Xhelper nhắm vào những người dùng điện thoại thông minh Android chủ yếu ở Ấn Độ, Hoa Kỳ và Nga.
Mặc dù nhiều phần mềm anti-virus cho Android phát hiện phần mềm độc hại Xhelper, nhưng chúng vẫn chưa thể xóa hoặc chặn vĩnh viễn phần mềm này trên các thiết bị bị nhiễm.
Vì nguồn của phần mềm độc hại vẫn chưa rõ ràng, người dùng Android được khuyến nghị thực hiện các biện pháp phòng ngừa đơn giản nhưng hiệu quả như:
Giữ cho các thiết bị và ứng dụng luôn được cập nhật.
Tránh tải xuống ứng dụng từ các nguồn không quen .
Luôn chú ý đến các quyền mà ứng dụng yêu cầu.
Thường xuyên sao lưu dữ liệu và cài đặt một ứng dụng chống vi-rút tốt để bảo vệ và chống lại phần mềm độc hại này và các mối đe dọa tương tự.
