O ‘xHelper’, um misterioso malware para Android, se reinstala em dispositivos infectados mesmo depois que os usuários o excluem ou façam factory reset, tornando a remoção próxima do impossível
Um malware para Android que apareceu no início do ano passado inquietou os especialistas em segurança e logo foi bloqueado pelas ferramentas de todos os fabricantes, mas deixou um mistério no ar: ele conseguia se reinstalar mesmo depois de um factory reset, e a estratégia para essa persistência foi explicada ontem no blog da Kaspersky, pelo pesquisador Igor Golovin. A explicação da estratégia do malware é ao mesmo tempo a solução para que ele seja removido e não mais se instale. As contaminações foram direcionadas principalmente para dispositivos na Rússia, Índia e Argélia, mas até no Brasil a Kaspersky registrou tentativas de contaminação (clique abaixo no mapa interativo da Kaspersky para ver a incidência do xHelper em cada país).
Golovin explica que o malware na realidade não traz sequer a utilidade anunciada para o usuário: após a instalação, o ‘cleaner’ simplesmente desaparece e não aparece em nenhum lugar na tela principal ou no menu. Pode-se vê-lo apenas inspecionando a lista de aplicativos instalados, nas configurações do sistema. Depois de instalado, o aplicativo se registra como um serviço em primeiro plano e extrai seu primeiro payload (originalmente criptografado), para coletar e enviar informações de identidade do dispositivo a um servidor da Web. Golovin comentou que é uma estrutura como das matrioshkas, as bonecas russas de diferentes tamanhos, que se encaixam umas dentro das outras
Veja isto
Malware para Android é o mais ativo em novembro
Apps com malwares afetam 8 milhões de usuários do Android
Porque, na etapa seguinte, o app malicioso executa outro payload ofuscado, que aciona um conjunto de explorações em root no Android para obter acesso administrativo no sistema operacional do dispositivo. “O malware pode obter acesso root principalmente em dispositivos executando as versões 6 e 7 do Android”, disse Golovin. Ele fica silencioso no dispositivo, aguardando comandos do controlador. De acordo com uma análise já feita pelos pesquisadores da Symantec, ele usa certificados SSL para impedir que sua comunicação seja interceptada.
“O malware instala então um backdoor com a capacidade de executar comandos como superusuário, fornecendo aos atacantes acesso total a todos os dados. Sendo o ataque bem-sucedido, o aplicativo monta a partição do sistema em modo de gravação e ali instala o xHelper na pasta /system/bin”, relata o pesquisador. “Todos os arquivos recebem o atributo ‘imutável’, o que dificulta a exclusão do malware, porque o sistema não permite que nem os usuários excluam os arquivos com esse atributo”. Em tese,
Em tese, um bom aplicativo de segurança poderia simplesmente remontar a partição original do sistema, e assim excluir permanentemente o malware. No entanto, o xHelper também modifica uma biblioteca de sistema (libc.so) para impedir que usuários infectados remontem a partição do sistema no modo de gravação. “Depois disso, o Trojan baixa e instala vários outros programas maliciosos e exclui aplicativos de controle de acesso root, como o SuperUser por exemplo”, disse Golovin.
Segundo a Kaspersky, a substituição da biblioteca modificada pela original do smartphone pode resolver o problema. No entanto, a empresa explica que muito mais fácil para o usuário é simplesmente atualizar o telefone com uma nova cópia do firmware pelo site oficial do fornecedor.