Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

Kaspersky เผยเทคนิคที่มัลแวร์ xHelper บนแอนดรอยด์รอดจากการทำ Factory Reset

ผู้เชี่ยวชาญจาก Kaspersky ไว้เปิดเผยผลการศึกษามัลแวร์บนแอนดรอยด์ ‘xHelper’ ที่เรียกได้ว่าลบยากสุดๆ แม้ว่า Factory Reset ก็ยังไม่หาย

xHelper นั้นถูกพบครั้งแรกมากว่า 1 ปีแล้ว โดยจุดเด่นคือเมื่อติดแล้วกำจัดยากสุดๆ ซึ่งผลการศึกษาในเชิงเทคนิคจากทีมงาน Kaspersky สรุปได้ดังนี้

  • มีการเข้ารหัส Payload ของโทรจันในไฟล์ /asset/firehelper.jar เก็บข้อมูล OS Firmware, Model, ผู้ผลิตอุปกรณ์ส่งกลับหาเซิร์ฟเวอร์ C&C จากนั้นจะเรียกโทรจันตัวอื่นๆ ที่สุดท้ายแล้วจะไปเรียกโทรจัน Triada เพื่อเข้ามาโจมตีอุปกรณ์ด้วยช่องโหว่ให้ได้สิทธิ์ Root 
  • ติดตั้ง xHelper ไว้บน System Partition โดยตรงรันตัวเองได้จาก Startup Partition 
  • มีการตั้งค่า Folder ตัวเองให้เป็น immutable attribute ให้ลบได้ยากขึ้น ซึ่งไม่อนุญาตให้ลบแม้กระทั่ง Superuser
  • มีการแก้ไขฟังก์ชันในไลบรารีของระบบเพื่อไม่ให้ผู้ใช้เข้าไป Mount System Partition ใน Write Mode เหมือนที่มัลแวร์ทำได้ 

อย่างไรก็ดีมัลแวร์ตัวนี้มีการโจมตีอยู่ในละแวกรัสเซียเป็นส่วนใหญ่และโดยมากจะติดเพราะไปดาวน์โหลดแอปอันตรายจากนอก Play Store เข้ามาเท่านั้น แต่ทั้งนี้หากติดมัลแวร์เข้ามาจริงๆ ผู้เชี่ยวชาญแนะว่าจะต้องไป Reflash มือถือเพื่อกำจัดมัลแวร์เลยทีเดียว ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/this-is-why-the-vicious-xhelper-malware-resists-factory-wipes-and-reboots/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

8 Session ห้ามพลาดด้าน Hybrid & Multicloud ในงาน VMworld 2020 พร้อมลุ้นรับ iPad และของรางวัลอีกมากมาย วันที่ 30 ก.ย. – 1 ต.ค. 2020

ในงาน VMworld 2020 ที่กำลังจะจัดขึ้นในวันที่ 30 ก.ย. - 1 ต.ค. 2020 นี้ ทาง VMware มี Session ทางด้าน Hybrid & Multicloud เกินกว่า 350 Session ให้เข้าร่วมได้ฟรีๆ และในบทความนี้เราได้คัดหัวข้อบางส่วนที่โดดเด่นเพื่อให้ผู้ที่สนใจได้พิจารณาเข้าร่วมรับชมโดยไม่มีค่าใช้จ่าย พร้อมลุ้นรับ iPad และของรางวัลอีกมากมายได้ง่ายๆ จากชุมชน VMUG Thailand โดยมีรายละเอียดการลงทะเบียนเข้าร่วมงานและทำแล็บดังนี้

แจกฟรีตัวถอดรหัสแรนซัมแวร์ตระกูล ThunderX

Tesorion บริษัทไซเบอร์ซิเคียวริตี้ได้ออกมาปล่อยตัวถอดรหัสสำหรับผู้ประสบภัยจากแรนซัมแวร์ตระกูล ThunderX หรือ .tx_locked