Trojanac za Android xHelper za 4 meseca zarazio na desetine hiljada uređaja

Mobilni telefoni, 28.08.2019, 09:30 AM

Trojanac za Android xHelper za 4 meseca zarazio na desetine hiljada uređaja

Istraživači Malwarebytes Labsa otkrili su novog trojanca nazvanog xHelper koji se od maja ove godine polako ali uporno širio na sve više i više Android uređaja, i tako za četiri meseca zarazio više od 32000 pametnih telefona i tableta.

Trojanski dropperi kao što je xHelper su alati koje sajber-kriminalci koriste za isporuku drugih opasnijih vrsta malvera na već ugrožene uređaje, uključujući, klik-trojance, bankarske trojance i ransomware.

xHelper, nazvan i Android/Trojan.Dropper.xHelper, je za samo nekoliko meseci postao jedan od 10 najčešće detektovanih mobilnih malvera.

xHelper se širi preko DEX (Dalvik Executable) fajlova, kamufliranih u JAR fajlove.

Ovaj metod inficiranja Android uređaja je jedinstven s obzirom na to da bi većina mobilnih trojanskih droppera koristila APK u paketu sa zaraženom aplikacijom.

Šifrovani DEX fajlovi koje xHelper koristi kao deo svog procesa infekcije uređaja prvo se dešifruju, a zatim kompajliraju pomoću alata dex2oat u ELF format (Executable and Linkable Format).

Koristeći ovu tehniku, autori xHelpera drastično smanjuju šansu da njihov dropper bude otkriven koja im takođe pomaže da prikriju svoje prave namere i krajnji cilj.

Istraživači su dozvolili da malver zarazi Android uređaj kako bi ga analizirali. Međutim, oni kažu da je „teško precizno odrediti šta je cilj mobilnog malvera“. Oni smatraju da je njegova glavna funkcija da omogućiti da se komande šalju na mobilni uređaj.

Nakon analize svih uzoraka, istraživači su takođe otkrili da xHelper dolazi u dve različite verzije, jedna koja izvršava svoje zlonamerne zadatke u režimu pune nevidljivosti i druga koja je dizajnirana tako da polunevidljiva deluje kroz kompromitovane Android uređaje, istovremeno pokazujući neke nagoveštaje prisustva. Skrivena verzija izbegava kreiranje bilo kakvih ikona na zaraženom uređaju i ne prikazuje bilo kakve vrste upozorenja koja bi otkrila njegovo prisustvo. Druga verzija je vidljivija - ona ima ikonu u meniju sa obaveštenjima i prikazuje obaveštenja.

Nakon što dodirne neku od notifikacija, žrtva se preusmerava na web sajtove sa igrama u pregledaču koje, iako bezopasne, verovatno omogućavaju distributerima malvera da zarade od klikova.

xHelper ima sposobnost da brzo zarazi nove uređaje. Istraživači Malwarebytes Labsa pronašli su ga na skoro 33000 mobilnih uređaja koje je zarazio za samo četiri meseca i to uključuje samo Android uređaje na kojima je instaliran Malwarebytes za Android.

Kako kažu istraživači, broj kompromitovanih pametnih telefona i tableta povećava se svakodnevno, sa stotinama novozaraženih uređaja svakog dana.

Iako još uvek nije otkriven tačan vektor zaraze, analiza pokazuje da xHelper cilja uređaje u Sjedinjenim Državama. Istraživači Malwarebytes Labsa savetuju korisnicima da budu pažljivi tokom pregledavanja weba na Android uređaju, i da oprezno biraju mobilne web sajtove koje posećuju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android malver FakeSpy se ponovo širi preko SMS poruka koje sadrže linkove

Android malver FakeSpy se ponovo širi preko SMS poruka koje sadrže linkove

Moćni Android malver FakeSpy se vratio. Malver koji može da ukrade podatke o bankovnom računu, lične podatke, privatnu komunikaciju korisnika i jo... Dalje

Google iz Play prodavnice uklonio 25 Android aplikacija koje su krale lozinke za Facebook naloge korisnika

Google iz Play prodavnice uklonio 25 Android aplikacija koje su krale lozinke za Facebook naloge korisnika

Google je uklonio 25 Android aplikacija iz Google Play prodavnice koje su uhvaćene u krađi korisničkih imena i lozinki za prijavu na Facebook nalo... Dalje

TikTok ponovo obećao da neće špijunirati korisnike iOS

TikTok ponovo obećao da neće špijunirati korisnike iOS

TikTok kaže da će prestati da pristupa sadržaju clipboarda na iOS uređajima, nakon što je nova funkcija iOS 14 otkrila da je popularna aplikacij... Dalje

Novi Android ransomware predstavlja se kao aplikacija za praćenje COVID-19

Novi Android ransomware predstavlja se kao aplikacija za praćenje COVID-19

Istraživači iz kompanije ESET upozorili su ove nedelje na ransomware koji se pojavio samo nekoliko dana nakon što je Health Canada najavio aplikaci... Dalje

Šta se dešava sa vašim online nalozima kada mobilni operater proda vaš stari broj

Šta se dešava sa vašim online nalozima kada mobilni operater proda vaš stari broj

“Hvala prijatelju, šaljem veliki zagrljaj” - ovako je glasila poruka na španskom koju je novinar Motherboarda Džozef Koks dobio na What... Dalje