آلودگی ۴۵ هزار دستگاه اندرویدی به بدافزار xHelper

در ۶ ماه گذشته، بدافزار اندرویدی با کمک مکانیزم نصب مجدد خود و آزار کاربران بسیار، موردتوجه شرکت‌‌های فعال در حوزه‌ی امنیت شبکه و اینترنت قرار‌‌ گرفته و حالا به شهرت جهانی رسیده است. این بدافزار که xHelper نام گرفته است، ابتدا در مارس سال جاری مشاهده شد و سپس با توسعه و گسترش نفوذ خود، تا اوت، ۳۲ هزار دستگاه اندرویدی را آلوده کرد و درنهایت تا ماه جاری میلادی، تعداد قربانیان خود را به ۴۵ هزار دستگاه رساند.

براساس داده‌‌های موجود، تعداد قربانیان این بدافزار سمج روند تصاعدی داشته و به‌گفته شرکت Symantec، بدافزار xHelper روزانه ۱۳۱ و ماهانه ۲،۴۰۰ دستگاه جدید را آلوده می‌کند. گفتنی است بیشتر‌‌ ابزارهای اندرویدی آلوده‌شده به این بدافزار در کشورهای هند و آمریکا و روسیه بوده‌‌اند.

هنوز راه‌حل مؤثری برای مقابله با xHelper یافت نشده است.

نصب نرم‌افزارهای مستقل؛ دروازه‌ی ورود xHelper به ابزارهای اندرویدی

طبق ادعای شرکت malwarebytes که در حوزه‌ی امنیت شبکه و اینترنت فعالیت می‌‌کند، مکانیزم وب ریدایرکت با تغییر مسیر کاربران به وب‌سایت دانلود نرم‌افزارهای اندرویدی متفرقه، امکان دانلود اپلیکیشن‌‌ها را در محیطی غیر از گوگل‌پلی فراهم می‌‌کند. کدهای پنهان موجود در این نرم‌افزارهای اندرویدی به‌صورت مخفیانه بدافزار xHelper را دانلود و ابزارهای اندرویدی را آلوده می‌کند.

با وجود نگرانی‌های کاربران از نصب این بدافزار، خوشبختانه xHelper تاکنون عملکرد مخربی نداشته است. براساس اطلاعات Malwarebytes و Symantec، تاکنون تنها اقدام این بدافزار نمایش تبلیغات و نشان‌دادن هرزنامه بوده است. این تبلیغات و اعلان‌ها کاربران را به صفحه‌ی پلی‌استور راهنمایی می‌کنند و از آنان می‌خواهد تا نرم‌افزارهای دیگری را نیز نصب کنند. به‌نظر می‌رسد هدف اصلی طراحان xHelper تشویق کاربران به نصب برنامه‌های موجود در فروشگاه گوگل و دریافت پول بابت معرفی کاربران جدید و افزایش میزان دانلود است.

مقاوم دربرابر غیرفعال‌کردن نصب

این بدافزار سمج درمقابل حذف و غیرفعال شدن به‌شدت مقاوم است و ازطریق تروجان مجددا خود را نصب می‌کند. حتی اگر کاربران از گزینه‌ی بازگرداندن گوشی یا تبلت خود به تنظیمات کارخانه استفاده کنند، نمی‌توانند xHelper را حذف کنند. اینکه چگونه این بدافزار درمقابل بازگشتن دستگاه به تنظیمات کارخانه مقاومت می‌کند، هنوز بر کارشناسان و فعالان حوزه‌ی امنیت شبکه و اینترنت پوشیده است. هر دو شرکت Malwarebytes و Symantec اعلام کرده‌اند xHelper برنامه‌های سیستمی سرویس‌های اندروید را دست‌کاری نمی‌کند. علاوه‌بر‌این، شرکت Symantec معتقد است بدافزار مذکور به‌صورت از‌پیش‌نصب‌شده روی دستگاه‌های اندرویدی وجود ندارد.

این بدافزار با توسعه‌ی خود می‌تواند به ویروسی خطرناک تبدیل شود.

در برخی موارد کاربران گزارش کرده‌اند با وجود حذف xHelper و فعال‌کردن گزینه‌ی جلوگیری از نصب نرم‌افزارهای اندرویدی از منابع ناشناس، چند دقیقه بعد بازهم بازگشت این بدافزار به دستگاه اندرویدی و آلوده‌شدن آن را شاهد بوده‌اند.

در ماه‌های اخیر، بسیاری از کاربران در وب‌سایت‌هایی نظیر Reddit و Google Play Help و سایر وب‌سایت‌ها و فروم‌های حوزه‌ی تکنولوژی شکایت خود را از این بدافزار حذف‌نشدنی اعلام کرده‌اند. بعضی دیگر از کاربران نیز اعلام کرده‌اند توانسته‌اند با خرید آنتی‌ویروس‌های مخصوص گوشی موبایل این بدافزار را حذف و از بازگشت آن جلوگیری کنند.

به‌نظر می‌رسد نبردی تمام‌عیار میان بدافزار xHelper و آنتی‌ویروس‌های موجود در بازار شکل گرفته و هرکدام تلاش می‌کنند تا دیگری را شکست دهند. دراین‌میان، نکته‌ی درخورتوجه این است که هر دو شرکت Malwarebytes و Symantec درباره‌ی برخی از ویژگی‌های بدافزار xHelper به کاربران هشدار داده‌اند.

درحالی‌که بدافزار xHelper روی کسب درآمد از پخش آگهی متمرکز شده است، ویژگی‌های خطرناک دیگری نیز دارد. برای مثال، می‌تواند به‌صورت خودکار نرم‌افزارهای اندرویدی را روی ابزارهای کاربران دانلود و نصب کند. این ویژگی‌ای است که به طراحان xHelper امکان می‌دهد باردیگر این بدافزار را روی دستگاه‌های اندرویدی نصب و مرحله‌ی دوم اقدامات مخرب خود را آغاز کنند. باج‌گیری، نفوذ به نرم‌افزارهای بانکی، ربات‌‌های DDoS  و سرقت اطلاعات کاربران نظیر رمزورود آنان ازجمله‌ی این اقدامات است.