安全周16：xHelper-Android Survival木马

一周前的4月7日，卡巴斯基实验室专家发表了有关xHelper Android木马的详细研究。它是在去年年中首次发现的，大多数攻击都是使用该恶意软件帐户为俄罗斯用户的手机进行的。它最引人注目的特性是即使将手机重设为出厂设置也能生存。

该木马经常伪装成用于清洁和加速智能手机的应用程序。安装后，用户可能会认为已发生错误-该木马未出现在程序菜单中，并且只能在设置菜单中已安装的应用程序列表中找到它。该程序访问命令服务器，发送有关设备的信息并下载下一个恶意模块。该脚本重复了几次，结果是一种嵌套娃娃，其中的关键元素是AndroidOS.Triada.dd恶意软件，其中包含一组用于获取超级用户权限的漏洞。

该程序最有可能在运行Android 6和7的中国智能手机上获得超级用户访问权限。成功入侵设备后，该木马将重新挂载系统分区（最初仅在读取模式下可用），并在那里引入另一组恶意程序。在首次启动操作系统时，向脚本中添加运行可执行文件的命令，即使在重置设置后，该木马也可以恢复。更改了其他选项，以便随后难以连接系统分区以删除恶意软件。包括修改后的系统库libc.so。

由于研究中xHelper的功能实际上是无限的，因此未对其进行详细描述。受感染的移动设备中存在后门，操作员可以使用超级用户权限执行任何操作。攻击者可以访问所有应用程序的数据，并且可以下载其他恶意模块-例如，劫持网络服务帐户。智能手机处理是一个复杂的过程。从理论上讲，您可以将设备加载到恢复模式，可以尝试将libc.so库的原始版本返回到其位置，这将从系统分区中删除恶意模块。实际上，尽管研究人员指出，网络上分发的某些固件已经包含xHelper，但是刷新智能手机更为容易。

还有什么事

流行中的信息安全。 Google和Apple将共同开发一项服务，该服务将帮助您确定是否与冠状病毒的载体相交（新闻，有关Habr的详细文章）。该服务涉及通过蓝牙在智能手机之间进行匿名信息交换，这当然使人们怀疑这种交换的隐私性，以及出于广告目的重新配置该技术的可能性。另一方面，这是解决医疗问题的技术援助的一种变体。

网络会议服务Zoom 聘请了前Facebook安全总监Alex Stamios。同时，该服务在美国学校和Google中均被禁止。它的开发人员仍在致力于安全性，包括小的但重要的界面调整-会议号不再显示在“缩放”窗口的标题栏中，这使“有人张贴屏幕快照而随机的人开始连接到会议”的可能性降低了。 Stamos在他的博客文章中称有趣的是，Zoom从一个鲜为人知的公司服务迅速转变为五分钟到关键的基础架构元素。

WhatsApp的开发商大约冠状病毒作战假货（和其他“从网上的报价”）现在允许如果不是常规联系人发送给您的消息，则仅转发一次。

在VMware Directory Service（vmdir）软件包（新闻，公司新闻）中检测到一个严重漏洞。该服务用于虚拟机的集中管理。授权系统中的错误可能会导致对公司整个虚拟服务器基础架构的控制扣押。

Sophos公司搜寻App Store上的“价格不合理”的应用程序。通常具有基本功能（例如标尺，计算器，手电筒等）的此类程序被称为抓绒软件。分析提供了两个示例程序，其中一些设法进入了区域商店中最赚钱的列表。Fleeceware的一个特色是在首次发布时提供免费试用期。结果，用户每年为高达100磅的“星座运势”或“创建化身”付费，有时甚至一无所知。