Для пользователей смартфонов Android привычно становиться объектом атак вредоносного ПО, что неудивительно, если учесть, что существует более 2,5 миллиарда активных устройств Android. Киберпреступники всегда будут следить за деньгами, и большее число пользователей означает больше возможностей для заражения.
Исследователи из Symantec подтвердили, что существует вредоносное ПО для Android, которое представляет еще более серьезную угрозу: его практически невозможно удалить. Оно уже заразило 45 000 Android-устройств, общее количество которых увеличивается с каждым днем, неустранимая вредоносная программа может даже «пережить» сброс настроек до заводских.
Что это за неудаляемое вредоносное ПО для Android?
По словам исследователей безопасности Symantec, троян Xhelper Android не только скрытный, но и очень заразный. В отчете Symantec говорится, что компания по обеспечению безопасности «наблюдала всплеск обнаружения» вредоносного ПО, которое может скрываться от пользователей и загружать дополнительные вредные приложения. Однако наиболее важной чертой Xhelper является его постоянство. Вы спросите, насколько оно велико? «Он может переустановить себя после того, как пользователи удалили его», — утверждают исследователи, отметив также, что вредоносное ПО продолжает появляться даже после того, как пользователи удалили его вручную. Более того, согласно отчету, даже полный сброс настроек не может остановить появление Xhelper.
Что делает вредоносная программа Xhelper для Android?
Сам Xhelper скрыт от стартовой оболочки Android, так как является компонентом приложения, поэтому его легко не заметить. Он запускается внешними событиями, включая подключение устройства к источнику питания и установку какого-либо приложения.
«После запуска вредоносная программа будет регистрироваться в качестве приоритетной службы, — говорит исследователь, — снижая свои шансы на отключение при нехватке памяти». Действительно, оказывается, что троян также автоматически перезапускает службу, если ее останавливать, что увеличивает постоянство вируса.
Вредоносное содержимое, которое Xhelper запускает, подключается к серверу управления и контроля, чтобы ждать дальнейших распоряжений. Эта связь также скрыта от пользователя и его ПО безопасности с помощью прикрепления SSL-сертификата для предотвращения перехвата. Эти «дополнительные распоряжения» включают в себя обслуживание дополнительных загрузок, таких как средства внедрения вредоносных программ и руткиты, для обеспечения полного захвата зараженного устройства.
Как может Xhelper пережить сброс настроек?
Самая большая загадка с точки зрения безопасности, по крайней мере, на мой взгляд, заключается в том, как любая вредоносная программа может выжить после сброса настроек. В конце концов, если бы ПО не было частью прошивки смартфона, сброс настроек к заводским установкам привел бы к его удалению.
Отчет Symantec, по-видимому, отклоняет эту возможность, поскольку в нем говорится: «Мы считаем маловероятным, чтобы Xhelper был предустановлен на устройствах, поскольку эти приложения не имеют никаких признаков того, что они являются системными приложениями». Наиболее вероятное объяснение, приведенное в отчете, заключается в том, что другое отдельное приложение постоянно загружает вредоносное ПО.
Как предотвратить заражение вашего Android-устройства?
Как говорит этический хакер Джон Опденаккер, «Недостаточные меры обеспечения безопасности ставят пользователя снова в уязвимое положение». Если они переустанавливают те же приложения, что и до восстановления заводских настроек, в том числе из источников, отличных от официального магазина Google Play, то я подозреваю, что он прав.
«Это подчеркивает, насколько велик риск установки приложений за пределами официальных магазинов приложений, — говорит специалист по безопасности приложений Шон Райт. — Я рекомендую устанавливать приложения только через официальные магазины приложений, если вы не уверены наверняка в подлинности приложения».
Исследователи Symantec считают, что расшифровка кода вируса все еще находится в работе и есть еще ряд хитростей, которые только предстоит раскрыть.