Xhelper - برنامه‌ی Dropper اندرویدی که 45 هزار دستگاه را در 6 ماه گذشته آلوده کرد

به تازگی محققان شرکت Symantec برنامه‌ی مخربی را کشف کرده‌اند که بر روی گوشی تلفن همراه تبلیغات ناخواسته نمایش می‌دهد، خود را از دید کاربران پنهان می‌کند و نیز می‌تواند برنامه‌های مخرب بیش‌تری را دانلود کند. این اپلیکیشن که Xhelper نام دارد پس از حذف، مجدداً خود را نصب می کند و به گونه‌ای طراحی شده است که با ظاهر نشدن در منوی برنامه‌های گوشی، پنهان می‌ماند. این برنامه در شش ماه گذشته بیش از 45000 دستگاه را آلوده کرده است.

Xhelper در عمل

Xhelper یک رابط کاربری عادی ارائه نمی دهد. این بدافزار یک Application Component است، به این معنی که در منوی برنامه‌های دستگاه لیست نمی شود که این کار، بدافزار را قادر می‌سازد تا فعالیت‌های مخرب خود را مخفیانه انجام دهد.

شکل 1. کد استفاده شده برای پنهان کردن برنامه از منوی گوشی (بالا) و نمایش برنامه در منوی گوشی(پایین) — طریقه ی مخفی شدن Xhelper در موبایل قربانی

Xhelper را نمی‌توان به صورت دستی اجرا کرد زیرا هیچ آیکون قابل مشاهده‌ای در منوی برنامه‌های دستگاه ندارد. در عوض، این برنامه مخرب توسط رویدادهای خارجی مانند قطع یا وصل شدن دستگاه از/به منبع تغذیه، Reboot شدن و یا نصب و حذف شدن برنامه‌ای خاص فعال می‌گردد.

شکل 2. کد Manifest.xml برنامه‌ی مخرب Xhelper، رخداد‌هایی که باعث فعال شدن آن می‌شود را نشان می‌دهد

پس از اجرا شدن، بدافزار خود را به عنوان یک سرویس پیش زمینه ثبت می کند که با این‌کار احتمال خاتمه یافتن خود را در هنگام کم بودن حافظه کاهش میدهد. برای ماندگار ماندن نیز، بدافزار سرویس خود را پس از متوقف شدن دوباره فعال می‌کند که یک تاکتیک معمول استفاده شده توسط بدافزارهای موبایلی می‌باشد.

شکل 3. Xhelper خود را به عنوان سرویس پیش زمینه ثبت می کند و در صورت متوقف شدن، سرویس خود را مجدداً راه اندازی می کند

هنگامی که Xhelper در دستگاه قربانی به ثبات می‌رسد، عملکردهای مخرب اصلی خود را با رمزگشایی Payload تعبیه‌شده در Package خود و تزریق آن در حافظه آغاز می‌کند. Payload مخرب پس از آن به سرور فرمان و کنترل (C&C) مهاجم متصل شده و منتظر دستورات آتی می‌ماند. Xhelper برای جلوگیری از استراق سمع کردن این ارتباط، از پین کردن گواهی SSL (SSLPinning) بر روی کلیه ارتباطات بین دستگاه قربانی و سرور C&C استفاده می‌کند.

پس از اتصال موفقیت آمیز به سرور C&C، Payloadهای دیگر مانند Dropperها، Clickerها و Rootkitها ممکن است در دستگاه آپلود شوند. محققان شرکت Symantec براین باورند که استخر بدافزارهای ذخیره شده در سرور C&C بسیار گسترده و متنوع است و امکان سرقت داده یا حتی در اختیار گرفتن کامل دستگاه را به مهاجمان می‌دهند.

شکل 4. درخواست POST تولید شده توسط Xhelper به منظور دریافت تنطیمات لازم برای دانلود Payloadها (آدرس سرور C&C با رنگ قرمز مشخص شده است)

منابع بارگیری Xhelper

بنابر تحقیقات محققان امنیتی Symantec هیچ یک از نمونه‌های بدافزار که مورد تجزیه و تحلیل قرار گرفته در فروشگاه Google Play موجود نبود است و احتمال دارد که این بدافزار از منابع نامشخصی توسط کاربران بارگیری شده باشد.

دامنه تخریب Xhelper

طبق اندازه‌گیری‌های انجام شده، حداقل 45000 دستگاه تحت تأثیر بدافزار Xhelper قرار گرفته اند. تنها در یک ماه گذشته، به طور متوسط روزانه 131 دستگاه و به طور متوسط در طول ماه 2400 دستگاه به این بدافزار آلوده شده‌اند. این بدافزار بیشتر کاربران کشورهای هند، ایالات متحده و روسیه را تحت تأثیر قرار داده است.

محافظت / کاهش تاثیرات مخرب Xhelper

سیستم عامل خود را به روز نگه دارید.
برنامه ها را از سایت‌های ناآشنا و نامتبر دریافت نکرده و فقط از منابع مورد اعتماد استفاده کنید.
توجه زیادی به مجوزهای درخواست شده توسط برنامه‌ها کنید (درخواست‌های مختلف یک برنامه برای دسترسی به حافظه، امکان ارسال پیامک و … باید متناسب با عملکرد برنامه باشد).
از داده‌های حیاتی خود نسخه پشتیبان تهیه کنید.

منابع

[1]

Xhelper – برنامه‌ی Dropper اندرویدی که 45 هزار دستگاه را در 6 ماه گذشته آلوده کرد

Xhelper در عمل

منابع بارگیری Xhelper

دامنه تخریب Xhelper

محافظت / کاهش تاثیرات مخرب Xhelper

منابع

پست های مرتبط