Исследователи Malwarebytes нашли способ удалить вредоносное ПО,
но они до сих пор не знают, как оно работает на самом деле.
Исследователям
безопасности потребовалось почти десять месяцев, чтобы найти надежный метод
очистки смартфонов, зараженных xHelper,
типом вредоносного ПО для Android, которое до недавнего времени было невозможно удалить.
Техника
удаления описана в конце этой статьи, но сначала немного контекста для
читателей, которые хотят узнать больше о xHelper.
В
последние десять месяцев именно эта разновидность вредоносного ПО доставила
пользователям всего мира «боль». Вредоносная программа была впервые обнаружена
еще в марте 2019 года, когда пользователи на различных интернет-форумах начали
жаловаться на приложение, которое не смогли удалить даже после сброса настроек.
Эти
приложения были ответственны за сохранение пользователей с навязчивой
всплывающей рекламой и спамом уведомлений. Ничего особо опасного, но все же
очень раздражает.
В
течение года кампании xHelper
расширили охват вредоносных программ, заражая все больше и больше устройств.
Согласно отчету Malwarebytes, к августу насчитывалось около 32 000 зараженных устройств, число
которых достигло 45 000 к концу октября, когда
исследователи Symantec также опубликовали свой собственный отчет об угрозе.
По
словам исследователей, источником этих заражений были «веб-перенаправления»,
которые отправляли пользователей на веб-страницы с приложениями для Android.
Сайты рассказывали пользователям о том, как загружать неофициальные приложения
для Android из-за пределов PlayStore. Код, спрятанный в этих приложениях, в
конце концов скачал и установил троян xHelper.
Но хотя
выяснить его источник, охват и точку заражения было легко, в прошлом году
исследователи в области безопасности смутились тем, что они не могли удалить
вредоносное ПО с устройства традиционными методами, такими как удаление
исходного приложения xHelper или сброс настроек к заводским настройкам.
Каждый
раз, когда пользователь сбрасывает настройки устройства до заводских настроек,
вредоносная программа просто всплывает через несколько часов и переустанавливается
без вмешательства пользователя.
Единственный
способ удалить xHelper - выполнить полную перепрошивку
устройства, переустановив всю операционную систему Android, решение, которое было
недоступно для всех зараженных пользователей, многие из которых не имели
доступа к правильным образам прошивки ОС Android для выполнения прошивки.
НЕКОТОРЫЕ КЛЮЧИ…………
С
момента появления вредоносного ПО в прошлом году исследователи безопасности из Malwarebytes продолжали искать угрозу.
В своем
сегодняшнем блоге команда Malwarebytes
сообщает, что, хотя они до сих пор не выяснили, как именно вредоносная
программа переустанавливает себя, они обнаружили достаточно информации о ее modusoperandi, чтобы удалить его навсегда и не
дать xHelper
переустановить себя.
Команда Malwarebytes говорит, что xHelper, по-видимому, нашел способ
использовать процесс в приложении GooglePlayStore для запуска операции
переустановки.
С
помощью специальных каталогов, которые он создал на устройстве, xHelper скрывал свой APK на диске, чтобы пережить
заводские перезагрузки.
«В
отличие от приложений, каталоги и файлы остаются на мобильном устройстве Android даже после восстановления заводских
настроек», - говорит Натан Кольер, старший аналитик Malware Intelligence в Malwarebytes.
Кольер
считает, что после того, как приложение GooglePlayStore выполняет какую-то еще не
определенную операцию (предположительно, какое-то сканирование), оно само
переустанавливалось.
ИНСТРУКЦИИ
ПО УДАЛЕНИЮ
Теперь Collier собрала ряд шагов, которые пользователи могут
выполнить, чтобы удалить вредоносное ПО xHelper
с устройств и предотвратить его переустановку.
Примечательно,
что эти инструкции рассчитаны на пользователей, устанавливающих приложение Malwarebytes для Android, но это приложение можно
использовать бесплатно, поэтому для пользователей это не должно быть проблемой.
Шаг 1:
Установите файловый менеджер из GooglePlay, который имеет возможность
поиска файлов и каталогов. (например: Амелия использовала файловый менеджер ASTRO).
Шаг 2.
Временно отключите GooglePLAY,
чтобы остановить повторное заражение.
Перейдите
в Настройки> Приложения>GooglePlayStore
Нажмите
кнопку Отключить
Шаг 3.
Запустите сканирование в Malwarebytes
для Android,
чтобы определить имя приложения, которое скрывает вредоносное ПО xHelper. Удаление вручную может быть
затруднено, но имена для поиска в разделе информации о приложениях для AndroidOS - это fireway, xhelper и Settings (только если отображаются два
приложения с настройками).
Шаг 4:
Откройте файловый менеджер и найдите файлы в хранилище, начиная с com.mufc.
Шаг 5:
Если найдено, запишите дату последнего изменения.
Сортировать
по дате в файловом менеджере
В
диспетчере файлов от ASTRO
вы можете отсортировать по дате в разделе «Настройки просмотра».
Шаг 6:
Удалите все, что начинается с com.mufc. и файлы с той же датой (кроме
основных каталогов, таких как Download):
Шаг 7. Повторно включите Google PLAY. Перейдите в Настройки>
Приложения>GooglePlayStore Нажмите
кнопку включения.
Профит!
Предупреждение: Вся информация
представлена исключительно в образовательных целях.
Комментариев нет:
Отправить комментарий