Kaspersky เผยเทคนิคที่มัลแวร์ xHelper บนแอนดรอยด์รอดจากการทำ Factory Reset

ผู้เชี่ยวชาญจาก Kaspersky ไว้เปิดเผยผลการศึกษามัลแวร์บนแอนดรอยด์ ‘xHelper’ ที่เรียกได้ว่าลบยากสุดๆ แม้ว่า Factory Reset ก็ยังไม่หาย

xHelper นั้นถูกพบครั้งแรกมากว่า 1 ปีแล้ว โดยจุดเด่นคือเมื่อติดแล้วกำจัดยากสุดๆ ซึ่งผลการศึกษาในเชิงเทคนิคจากทีมงาน Kaspersky สรุปได้ดังนี้

• มีการเข้ารหัส Payload ของโทรจันในไฟล์ /asset/firehelper.jar เก็บข้อมูล OS Firmware, Model, ผู้ผลิตอุปกรณ์ส่งกลับหาเซิร์ฟเวอร์ C&C จากนั้นจะเรียกโทรจันตัวอื่นๆ ที่สุดท้ายแล้วจะไปเรียกโทรจัน Triada เพื่อเข้ามาโจมตีอุปกรณ์ด้วยช่องโหว่ให้ได้สิทธิ์ Root 
• ติดตั้ง xHelper ไว้บน System Partition โดยตรงรันตัวเองได้จาก Startup Partition 
• มีการตั้งค่า Folder ตัวเองให้เป็น immutable attribute ให้ลบได้ยากขึ้น ซึ่งไม่อนุญาตให้ลบแม้กระทั่ง Superuser
• มีการแก้ไขฟังก์ชันในไลบรารีของระบบเพื่อไม่ให้ผู้ใช้เข้าไป Mount System Partition ใน Write Mode เหมือนที่มัลแวร์ทำได้ 

อย่างไรก็ดีมัลแวร์ตัวนี้มีการโจมตีอยู่ในละแวกรัสเซียเป็นส่วนใหญ่และโดยมากจะติดเพราะไปดาวน์โหลดแอปอันตรายจากนอก Play Store เข้ามาเท่านั้น แต่ทั้งนี้หากติดมัลแวร์เข้ามาจริงๆ ผู้เชี่ยวชาญแนะว่าจะต้องไป Reflash มือถือเพื่อกำจัดมัลแวร์เลยทีเดียว ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/this-is-why-the-vicious-xhelper-malware-resists-factory-wipes-and-reboots/