بدافزاری موبایلی 45 هزار دستگاه را آلوده کرده و امکان حذف آن وجود ندارد
چند ماهی است که محققان تهدید امنیتی جدیدی به نام xHelper را در موبایلهای اندرویدی کشف کردهاند. این تهدید که تاکنون بیش از ۴۵ هزار گوشی اندرویدی را آلوده کرده به گونهای طراحی شده که نمیتوانید آن را حذف کنید و به همین خاطر اگر به آن آلوده شوید به دردسر بزرگی دچار خواهید شد.
این بدافزار که فقط حدود کمتر ۷ ماه از عمر آن میگذرد، در همین مدت کوتاه به فهرست ۱۰ بدافزار خطرناک MalwareBytes راه پیدا کرده است. شرکت سیمانتک میگوید این بدافزار تاکنون حداقل ۴۵ هزار دستگاه اندرویدی را آلوده کرده و این رقم روزبهروز در حال افزایش است. محققان امنیتی اظهار دارند که این اپلیکیشن توسط وبسایتهایی منتشر شده که کاربر را به نصب جانبی اپلیکیشنها تشویق میکنند.
xHelper پس از نصب از طریق نوتیفیکیشنها و تبلیغات پاپآپ برای کاربر اسپم میفرستد. سیمانتک و MalwareBytes میگویند فعالیت این بدافزار محدود است و صرفا شما را به دانلود سایر اپلیکیشنها و یا بازیهای آنلاین تشویق میکند. این شیوه اصلیترین روش کسب درآمد برای سازندگان بدافزار xHelper است، چرا که هر کلیک کاربر مقداری پول به حساب آنها واریز میکند.
نکته جالب توجه درباره این بدافزار شکل پیادهسازی آن است که مانع از حذف برنامه از روی دستگاه قربانی میشود. xHelper نه تنها در پسزمینه سیستم فعالیت میکند و بهراحتی نمیتوانید آن را ببینید، بلکه محل ذخیرهسازی خود را تغییر میدهد و برای مخفی کردن خود از رمزنگاری استفاده میکند. شناسایی یکی از مهمترین قدمها برای مبارزه با بدافزارهاست و xHelper به خوبی در مقابل پیدا شدن مقاومت میکند.
MalwareBytes میگوید این اپلیکیشن دو نوع دارد: نیمه-پنهان و تماما-پنهان. در هر دو حالت هیچ اثری از آیکن یا میانبر برنامه بر روی دستگاه کاربر دیده نمیشود. اما در حالت نیمه-پنهان وقتی نوتیفیکیشن بدافزار برای کاربر ارسال میشود، میتوان آیکن اپلیکیشنی که این برنامه همراه آن فعالیت میکند را مشاهده کرد. با این حال، نوع تماما-پنهان این بدافزار حتی این آیکن را هم ندارد.
با توجه به عدم وجود آیکن، xHelper به شکلی طراحی شده که در حالتهای خاصی مثل زمان بالا آمدن گوشی یا وصل شدن به اینترنت شروع به فعالیت میکند. وقتی فعالیت برنامه شروع شد، دیگر حتی با پاک کردن برنامهای که xHelper همراه آن وارد گوشی شما شده هم نمیتوانید آن را از روی دستگاه خود حذف کنید.
اگر به صورت دستی سعی کنید پروسه مربوطه را ببندید، xHelper دوباره به طور خودکار اجرا میشود تا تبلیغاتش را به شما نشان دهد. اگر سرویس مربوطه را حذف کنید باز هم به شکل عجیبی مشاهده خواهید کرد که xHelper برگشته است. در آخرین مرحله چنانچه به فکر فکتوری ریست بیفتید، باز هم خواهید دید که این بدافزار به طرز غیرقابل توضیحی به دستگاه شما برمیگردد. این موضوع خطرناکترین ویژگی xHelper است. محققان سیمانتک هنوز نتوانستهاند بفهمند که این بدافزار از طریق کدام اپلیکیشن موفق میشود حتی پس از فکتوری ریست خودش را به دستگاه برگرداند.
با این حساب، به منظور حفظ ایمنی دستگاه خود بهتر است تحت هیچ شرایطی اپلیکیشنها را از جایی به جز پلی استور گوگل دانلود نکنید. علاوه بر این، مراقب سایتهایی باشید که شما را به صفحات ثانویه هدایت میکنند. اگر به سایت ناشناختهای منتقل شدید، روی لینکهایی که در آن سایت وجود دارد کلیک نکنید.
اگرچه این اپلیکیشن در حال حاضر صرفا به نمایش تبلیغات بیخطر میپردازد، ولی محققان سیمانتک متذکر میشوند که این سرویس با سروری ارتباط دارد که برای گردآوری نظرات طراحی شده است. در نتیجه این بدافزار به راحتی میتواند از برنامهای بدون آزار به نرمافزاری تبدیل شود که قابلیت نصب اپلیکیشنهای خطرناک یا حتی سرقت اطلاعات شما را دارد. این ویژگی در کنار ویژگی پایداری xHelper این بدافزار را به یکی از خطرناکترین بدافزارهای دنیای موبایل تبدیل کرده است.