Minggu Keamanan 16: xHelper - Android Survival Trojan

Seminggu yang lalu, pada tanggal 7 April, para ahli Lab Kaspersky menerbitkan sebuah studi terperinci tentang xHelper Android Trojan. Ini pertama kali ditemukan pada pertengahan tahun lalu, sebagian besar serangan menggunakan akun malware untuk ponsel pengguna Rusia. Properti yang paling luar biasa adalah kemampuan untuk bertahan hidup bahkan mengatur ulang ponsel ke pengaturan pabrik.

Trojan sering kali disamarkan sebagai aplikasi untuk membersihkan dan mempercepat ponsel cerdas. Setelah menginstalnya, tampaknya bagi pengguna telah terjadi kesalahan - trojan tidak muncul di menu program, dan Anda hanya dapat menemukannya di daftar aplikasi yang diinstal di menu pengaturan. Program mengakses server perintah, mengirim informasi tentang perangkat dan mengunduh modul berbahaya berikutnya. Script ini diulang beberapa kali, ternyata semacam boneka bersarang di mana elemen utamanya adalah malware AndroidOS.Triada.dd, yang berisi serangkaian eksploitasi untuk mendapatkan hak pengguna super.

Kemungkinan besar, program ini akan bisa mendapatkan akses root pada ponsel pintar Cina yang menjalankan Android 6 dan 7. Setelah berhasil meretas perangkat, Trojan akan memasang kembali partisi sistem (awalnya hanya tersedia dalam mode baca) dan memperkenalkan satu set program jahat di sana. Menambahkan perintah untuk menjalankan file yang dapat dieksekusi ke dalam skrip untuk peluncuran pertama OS memungkinkan trojan untuk pulih bahkan setelah mengatur ulang pengaturan. Opsi lain diubah sehingga selanjutnya menyulitkan untuk menyambungkan partisi sistem untuk menghapus malware. Termasuk pustaka sistem yang dimodifikasi libc.so.

Kemampuan xHelper dalam penelitian ini tidak dijelaskan secara rinci, karena mereka praktis tidak terbatas. Ada pintu belakang di perangkat seluler yang terinfeksi, dan operator dapat melakukan tindakan apa pun dengan hak pengguna super. Penyerang memiliki akses ke data semua aplikasi dan dapat mengunduh modul jahat lainnya - misalnya, untuk membajak akun layanan jaringan. Perawatan smartphone adalah proses yang kompleks. Secara teori, Anda dapat memuat perangkat ke Mode Pemulihan, Anda dapat mencoba mengembalikan versi asli libc.so library ke tempatnya, yang akan menghapus modul berbahaya dari partisi sistem. Dalam praktiknya, lebih mudah untuk merefleksikan smartphone, meskipun para peneliti telah mencatat bahwa beberapa firmware yang didistribusikan di jaringan sudah mengandung xHelper.

Apa lagi yang terjadi

Keamanan informasi dalam epidemi. Google dan Apple bersama-sama akan mengembangkan layanan yang akan membantu Anda menentukan apakah Anda bersinggungan dengan pembawa virus corona ( berita , artikel terperinci tentang Habr). Layanan ini melibatkan pertukaran informasi anonim antara telepon pintar melalui Bluetooth, yang, tentu saja, menimbulkan keraguan tentang privasi pertukaran semacam itu dan kemungkinan melakukan re-profilisasi teknologi, misalnya, untuk tujuan periklanan. Di sisi lain, ini adalah varian dari bantuan teknologi dalam menyelesaikan masalah medis.

Layanan konferensi web Zoom mempekerjakan mantan direktur keamanan Facebook Alex Stamios. Layanan ini, sementara itu, dilarang di sekolah-sekolah Amerika dan di Google. Pengembangnya masih bekerja pada keamanan, termasuk tweak antarmuka kecil tapi penting - nomor konferensi tidak lagi ditampilkan di bilah judul jendela Zoom, yang membuat skenario "seseorang memasang tangkapan layar dan orang-orang acak mulai menghubungkan ke pertemuan" lebih kecil kemungkinannya. Dalam posting blognya, Stamos menyebut menarik transformasi cepat Zoom dari layanan perusahaan yang kurang dikenal menjadi lima menit menjadi elemen infrastruktur penting.

Pengembang WhatsApp untuk memerangi penipuan tentang coronavirus (dan "kutipan dari Internet") lainnya sekarang mengizinkanmeneruskan pesan hanya sekali jika itu datang kepadamu bukan dari kontak biasa. Kerentanan kritis

telah terdeteksi dalam paket perangkat lunak VMware Directory Service (vmdir) ( berita , buletin perusahaan). Layanan ini digunakan untuk manajemen mesin virtual terpusat. Kesalahan dalam sistem otorisasi dapat menyebabkan perebutan kendali atas seluruh infrastruktur server virtual perusahaan.

Perusahaan Sophos mencariAplikasi "Tidak masuk akal mahal" di App Store. Program semacam itu, biasanya dengan fungsi dasar seperti penggaris, kalkulator, senter, dan sejenisnya, dikenal sebagai perangkat lunak fleeceware. Analisis ini memberikan dua lusin contoh program, beberapa di antaranya berhasil masuk ke dalam daftar toko-toko regional yang paling menguntungkan. Fitur karakteristik dari fleeceware adalah penawaran periode percobaan gratis pada peluncuran pertama. Akibatnya, pengguna membayar untuk "horoskop" atau "membuat avatar" hingga seratus pound setahun, kadang-kadang tanpa menyadarinya.