Hồi giữa tháng 2 năm nay, anh em xài Android xôn xao vì một loại malware mới tấn công những chiếc máy chạy HĐH này. Malware trên điện thoại không mới, nhưng loại mã độc có tên xHelper này lại có khả năng tồn tại ngay cả sau khi thực hiện factory reset đưa máy Android trở về thiết lập ban đầu. Mãi đến bây giờ, các nhà nghiên cứu tại Kaspersky Labs đã nghiên cứu, chọc ngoáy cơ chế hoạt động vô cùng phức tạp của xHelper, qua đó giải thích được vì sao factory reset mà máy vẫn nhiễm malware được.
Về cơ bản, xHelper hay những biến thể của nó, sau khi giành được quyền root privileges, mã độc sẽ tự cài đặt vào phân vùng hệ thống (system partition) của điện thoại Android, và thậm chí còn có khả năng ép hệ thống thay đổi để việc gỡ bỏ malware này khỏi điện thoại trở nên khó khăn hơn nhiều. Vấn đề là ở chỗ, system partition thường không cho phép ghi đè lên. Trong quá trình sử dụng bình thường, phân vùng này chỉ cấp quyền “read-only” cho người dùng, vì thế không chỉ đơn giản là gỡ ứng dụng có chứa malware là xong. Hơn thế nữa, những file dữ liệu mà malware này ghi vào phân vùng hệ thống còn cấp cho nó quyền lớn hơn, ngay cả root máy cũng không dễ gì giải quyết vấn đề.
Tai quái hơn, những người viết ra xHelper còn cho nó một tính năng cho phép thay đổi thư viện hệ thống libc của chính hệ điều hành Android, vô hiệu hóa việc chuyển đổi phân vùng hệ thống từ read-only sang write mode, và thậm chí còn tự động gỡ luôn những ứng dụng máy root như Superuser nữa.
Để gỡ được loại malware có khả năng vừa đáng kinh ngạc vừa đáng sợ này, có một cách là recovery máy, hoặc là flash lại thiết bị bằng bản cài đặt gốc, hoặc thậm chí là thay cả system component trong máy nữa. Nhưng vấn đề nằm ở chỗ, xHelper tải về một bộ rootkit để chiếm quyền điều khiển máy, và rootkit này chủ yếu ảnh hưởng tới những smartphone chạy Android 6 và 7, nghĩa là nó có khả năng ảnh hưởng tới những chiếc smartphone Android do các hãng Trung Quốc sản xuất. Ngay cả bản cài đặt gốc của hãng điện thoại cũng từng bị phát hiện có chứa malware, nên hai cách duy nhất để không phải chung sống với xHelper là tìm bản ROM uy tín hơn, hoặc… mua điện thoại mới!
Như đã đề cập ở trên, nếu đang dùng smartphone chạy Android 8, 9 hay 10, tỷ lệ anh em dính phải xHelper là rất thấp. Thêm vào đó, lời khuyên vẫn là không nên cài đặt những ứng dụng không uy tín, hoặc gây nghi ngờ về nội dung và tính năng trên Google Play Store.
Về cơ bản, xHelper hay những biến thể của nó, sau khi giành được quyền root privileges, mã độc sẽ tự cài đặt vào phân vùng hệ thống (system partition) của điện thoại Android, và thậm chí còn có khả năng ép hệ thống thay đổi để việc gỡ bỏ malware này khỏi điện thoại trở nên khó khăn hơn nhiều. Vấn đề là ở chỗ, system partition thường không cho phép ghi đè lên. Trong quá trình sử dụng bình thường, phân vùng này chỉ cấp quyền “read-only” cho người dùng, vì thế không chỉ đơn giản là gỡ ứng dụng có chứa malware là xong. Hơn thế nữa, những file dữ liệu mà malware này ghi vào phân vùng hệ thống còn cấp cho nó quyền lớn hơn, ngay cả root máy cũng không dễ gì giải quyết vấn đề.
Tai quái hơn, những người viết ra xHelper còn cho nó một tính năng cho phép thay đổi thư viện hệ thống libc của chính hệ điều hành Android, vô hiệu hóa việc chuyển đổi phân vùng hệ thống từ read-only sang write mode, và thậm chí còn tự động gỡ luôn những ứng dụng máy root như Superuser nữa.
Để gỡ được loại malware có khả năng vừa đáng kinh ngạc vừa đáng sợ này, có một cách là recovery máy, hoặc là flash lại thiết bị bằng bản cài đặt gốc, hoặc thậm chí là thay cả system component trong máy nữa. Nhưng vấn đề nằm ở chỗ, xHelper tải về một bộ rootkit để chiếm quyền điều khiển máy, và rootkit này chủ yếu ảnh hưởng tới những smartphone chạy Android 6 và 7, nghĩa là nó có khả năng ảnh hưởng tới những chiếc smartphone Android do các hãng Trung Quốc sản xuất. Ngay cả bản cài đặt gốc của hãng điện thoại cũng từng bị phát hiện có chứa malware, nên hai cách duy nhất để không phải chung sống với xHelper là tìm bản ROM uy tín hơn, hoặc… mua điện thoại mới!
Như đã đề cập ở trên, nếu đang dùng smartphone chạy Android 8, 9 hay 10, tỷ lệ anh em dính phải xHelper là rất thấp. Thêm vào đó, lời khuyên vẫn là không nên cài đặt những ứng dụng không uy tín, hoặc gây nghi ngờ về nội dung và tính năng trên Google Play Store.
Theo Android Police
