Вредоносное ПО Xhelper атакует Android-устройства и сохраняет активность даже после сброса системы до заводских настроек. Зловред способен доставлять на смартфон различную полезную нагрузку, но пока не совершает деструктивных действий, ограничиваясь демонстрацией рекламных сообщений. Исследователи, наблюдающие вредоносную кампанию с марта 2019 года, утверждают, что она нацелена в основном на пользователей из Индии, США и России.

Эксперты не смогли точно выяснить каналы распространения Xhelper, но предполагают, что он может загружаться через неофициальные репозитории. Как вариант, жертву могут перенаправить на вредоносный веб-архив или отдать зловреда вместе с легитимным приложением. По подсчетам специалистов, за полгода Xhelper инфицировал более 45 тыс. мобильных устройств и распространяется со скоростью более 2000 заражений в месяц.

Как пояснили ИБ-аналитики, смартфоны некоторых брендов чаще других встречаются в статистике заражений зловредом. Тем не менее эксперты сомневаются в возможности атаки на цепочку поставок и предполагают, что вредоносный код загружает одно из системных приложений, умышленно измененное злоумышленниками.

Как Xhelper атакует Android-устройства

После запуска Xhelper регистрируется на устройстве как высокоприоритетный сервис. Являясь компонентом приложения, зловред не отображается в списке установленных программ, а значит, не может быть запущен вручную или удален с телефона обычным путем.

К активации Xhelper приводит одно из следующих действий пользователя:

  • подключение илиотключение зарядного устройства;
  • перезагрузка смартфона;
  • установка илиудаление какого-либо приложения.

Поскольку зловред запускается как служба переднего плана, он может продолжать работу даже при недостатке оперативной памяти. Обосновавшись в системе, он распаковывает свои компоненты и загружает их в память, после чего устанавливает защищенное SSL-соединение с командным сервером и скачивает с него дополнительную полезную нагрузку. Подобная функциональность позволяет злоумышленникам с легкостью расширить круг своих интересов — нацелиться на кражу данных или даже захватить контроль над устройством.

В октябре этого года стало известно, что банкер Gustuff получил обновление и снова атакует Android-устройства. Программа на лету генерирует фальшивое окно авторизации при заходе жертвы на сайт финансового учреждения или запуске приложения для онлайн-банкинга. Зловред распространяется через ссылки в SMS-сообщениях и нацелен на австралийских пользователей.

Категории: Вредоносные программы