Forskare upptÀcker Àntligen hur Android-skadlig programvara som kan överleva fabriksÄterstÀllningar fungerar

Tidigare i Ă„r gjorde en historia rundorna om en ny typ av skadlig kod som drabbar Android-telefoner. Men det var denna skadliga skadliga natur som verkligen gjorde rubriker, eftersom den till och med kunde överleva fullstĂ€ndiga fabriksĂ„terstĂ€llningar pĂ„ drabbade telefoner. Denna lumviga skadliga program namngavs xHelper. PĂ„ den tiden visste vi inte hur det lyckades med denna imponerande (men skrĂ€mmande) prestation, men sĂ€kerhetsforskare pĂ„ Kaspersky har sedan grĂ€vt in i sin inre funktion, avslöjat ett otroligt sofistikerat system som installerar sig sjĂ€lv pĂ„ en Android-telefons systempartition och till och med Ă€ndrar hur systemet fungerar för att förhindra att det “lĂ€tt” tas bort.

Detaljerna kommer med tillstĂ„nd av en Kaspersky-forskare (upptĂ€ckt av Ars Technica), som upptĂ€ckte att skadlig programvara laddar ner en rootkit som frĂ€mst pĂ„verkar Android-versioner 6-7 – pĂ„ nĂ„got sĂ€tt pĂ„verkar kinesiska telefoner mer Ă€n andra. NĂ€r den har root-privilegier installerar den direkt skadlig programvara i systempartitionen som kan infektera telefonen nĂ€r som helst igen, och den Ă€r sĂ€rskilt skadlig och svĂ„r att ta bort.

Det beror pÄ att systempartitionen vanligtvis inte kan skrivas till. Under normal systemdrift Àr den monterad som skrivskyddad, sÄ en anvÀndare kan inte helt enkelt avinstallera en app för att bli av med all skadlig programvara, det Àr begravd djupt inuti tillsammans med de komponenter som telefonen behöver för att fungera. Dessutom ges filerna som skadlig programvara skriver ett ytterligare immutable-attribut, sÄ Àven en rotad anvÀndare i kÀnnedomet kan inte enkelt mucka ut dem. Men det Àr inte det enda knepet av xHelper-hylsan, det modifierar ocksÄ ett internt Android-systembibliotek (libc) för att inaktivera montering av systempartitionen i skrivlÀge alls, och avinstallera direkt rotvÀnliga appar som Superuser som kan göra processen lite enklare .

Du burk ta bort skadlig programvara via Ă„terhĂ€mtning – antingen genom att helt spĂ€nna igen enheten med lagerbilder eller genom en mer trĂ„kig ersĂ€ttning av de komprometterade systemkomponenterna för manuell borttagning – men Ă€ven dĂ„ Ă€r nĂ„gra av fabriksbilderna för dessa billiga kinesiska enheter laddade med skadlig programvara som helt enkelt drar ner xHelper igen. Det enda riktiga sĂ€ttet att vinna i sĂ„ fall Ă€r att flasha en sĂ€krare ROM (om en till och med finns tillgĂ€nglig) eller byta ut telefonen.

Tidigare hÀvdade Malwarebytes att Play Store pÄ nÄgot sÀtt tjÀnade som en vÀg till xHelper: s Äterinfektion, Àven om konkreta bevis angÄende dessa pÄstÄenden aldrig dykt upp, och en Google-representant kunde inte bekrÀfta Malwarebytes teorier nÀr vi talade med dem tidigare i Är.

Uppskattningar för antalet pÄverkade telefoner infekterade av xHelper har tidigare varierat frÄn cirka 45 000 till 33 000, men Äterigen, bara enheter som kör Àldre, mindre sÀkra versioner av Android bör vara mottagliga för de rootkit-exploater som anvÀnds. (Om du anvÀnder en sÄdan Android-telefon, försök att uppgradera till nÄgot sÀkrare om du kan, det Àr i ditt bÀsta intresse.) Oddsen Àr att du inte pÄverkas, men det Àr fortfarande fascinerande att se vilken uppfinningsnivÄ som anvÀnds av malware idag.

Bild: Markus Spiske pÄ Unsplash

0 Shares