Не так давно журнал Infosecurity опубликовал новость о вредоносном приложение для android, которое показывает рекламу и скачивает другие вредоносные приложения. За полгода его установили на 45 000 устройств. Речь идет о Xhelper, которое в основном функционировало в США, Индии и России.
Приложение после установки заваливало телефон всплывающей рекламой. Обнаружить, что вред исходит от него было сложно — оно не отражается в списке установленных программ.
Кроме раздражающей игры в прятки, Xhelper ведет себя весьма настырно. Оно переустанавливает себя на устройстве, с которого его только что удалили, не помогает даже сброс заводских настроек. Исследователи пишут: «Мы обнаружили большое количество постов о Xhelper на интернет форумах с жалобами на рекламные объявления, которые продолжали появляться даже после удаления приложения».
Xhelper нельзя запустить вручную, ведь оно отсутствует в списке установленных приложений. Вместо этого, его запуск вызывается внешними событиями, например, перезагрузкой устройства, установкой или удалением других приложений, а также подключением или отключением устройства от источника питания.
Вредоносное ПО было запрограммированно появляться на устройстве в качестве службы, работающей в фоновом режиме. Это не позволяло системе прекращать работу Xhelper при низком заряде аккумулятора. Если ПО все же было остановлено, оно запускалось снова.
После того, как Xhelper попадает в систему устройства, оно загружать в память устройства зашифрованные отрывки кода, которые затем связываются с сервером для получения дальнейших инструкций.
После соединения с сервером, на зараженное устройство может загружаться другое вредоносное ПО: дропперы, кликеры, руткиты, и т. д. Скорее всего, сервер Xhelper содержит огромное количество разнообразного вредоносного ПО, которое предоставляет различные варианты для заражения устройства, включая кражу информацию и полный захват управления устройством.
Всем безопасности!
#информационнаябезопасность #IT #удаленнаяработа #утечкаинформации
