Tham dự Tech Lounge

Tham dự Tech Lounge


Phát hiện malware "bất tử" xHelper trên Android, tự hồi sinh ngay cả khi đã khôi phục cài đặt gốc

bk9sw
30/10/2019 7:29Phản hồi: 250
Phát hiện malware "bất tử" xHelper trên Android, tự hồi sinh ngay cả khi đã khôi phục cài đặt gốc
Một loại malware mới xuất hiện trên Android đang khiến các chuyên gia bảo mật đau đầu bởi hầu như không thể gỡ bỏ được trên thiết bị, ngay cả khi khôi phục cài đặt gốc.

Malware có tên xHelper này chỉ mới được tạo ra khoảng 7 tháng nhưng nó đã nhanh chóng lọt vào dan hsacsh top 10 malware nguy hiểm hàng đầu của MalwareBytes theo thống kê tháng 8 vừa qua. Symantec cho biết họ đã phát hiện khoảng 45.000 thiết bị dính malware này và danh sách này dày hơn mỗi ngày. Các nhà nghiên cứu bảo mật cho biết xHelper đang được phát tán thông qua các trang web cung cấp ứng dụng dạng APK để người dùng cài thủ công vào máy và những ứng dụng này chứa xHelper.

Sau khi được cài đặt vào thiết bị, xHelper sẽ khủng bố bằng thông báo và quảng cáo pop-up. Cả Symantec và MalwareBytes cho biết hoạt động bất chính của xHelper hiện chỉ mới dừng lại ở những thông báo hay quảng cáo khuyến khích người dùng cài đặt các ứng khác hay chơi game trực tuyến. Khả năng là đây là nguồn thu nhập chính của nhóm tin tặc đứng đằng sau ứng dụng này bởi mỗi cú click hay mỗi lượt cài đặt, họ được trả một số tiền nhỏ.

xHelper.png
Điều thú vị hơn là nhóm này đã thiết kế xHelper sao cho nó gần như không thể bị gỡ khỏi máy. Không chỉ hoạt động âm thầm mà xHelper còn vượt qua nhiều vòng bảo vệ, mã hóa để che giấu sự hiện diện của nó. MalwareBytes cho biết malware này có 2 biến thể là ẩn một phần và ẩn hoàn toàn. Ứng dụng độc hại này không hiển thị biểu tượng ứng dụng nhằm đảm bảo người dùng không biết được sự hiện diện của nó trên thiết bị. Ngoài ra việc không hiển thị biểu tượng ứng dụng cũng sẽ khiến người dùng không thể gỡ cài đặt nó dễ dàng. Cách duy nhất để biến máy mình dính xHelper là sự hiện diện của nó trên khu vực thông báo nhưng điều này chỉ có trên biến thể ẩn một phần, biến thể ẩn hoàn toàn thậm chí không hiển thị gì.

xHelper được thiết kế để tự động chạy dưới dạng một dịch vụ nền dựa trên các kích hoạt như khi khởi động thiết bị, kết nối/ngắt kết nối với cục sạc. Là một thành phần nhúng bên trong một ứng dụng khác nên cho dù bạn gỡ ứng dụng ban đầu thì xHelper vẫn ở lại trên thiết bị.

Thêm vào đó, xHelper còn có cơ chế tự khởi động lại trong tình huống người dùng cố gắng tắt dịch vụ. Nguy hiểm hơn, cho dù bạn có khôi phục cài đặt gốc thì xHelper bằng một cách nào đó sẽ xuất hiện và tiếp tục spam quảng cáo. Các nhà nghiên cứu bảo mật tại Symantec đến nay vẫn chưa tìm được cơ chế "tự hồi sinh" của xHelper ngay cả khi đã khôi phục cài đặt gốc trên thiết bị.

Symantec nói xHelper cũng thiết lập kết nối với một máy chủ từ xa để nhận lệnh vậy nên malware này sẽ trở thành một hiểm họa thật sự nếu nó cài đặt thêm các ứng dụng độc hại khác trên máy hay thậm chí tấn công giành quyền kiểm soát thiết bị.

250 bình luận
Chia sẻ

Xu hướng

Thực sự cảm thấy thiếu an toàn khi ngồi trong cái chợ android .
Idol1990
TÍCH CỰC
4 năm
@uthalinh Mày có đọc bài viết không?
Và có hiểu bài viết nói gì không?
@Idol1990 Bạn trẻ à , nếu mình cmt có gì sai thì sory nhé . Mới có 3 chục tuổi đầu mà đã hổ báo như vậy rồi ko biết mai sau lớn nên sẽ thế nào đây ? . Thành thật chia buồn với phụ huynh của bạn .
thuca_1992
ĐẠI BÀNG
4 năm
@darklight_vtp Thôi bớt chém ông ơi. Đọc dăm ba bài báo chém gió như thật. Apple nó review thật chứ k như ông Android đâu. Thời gian đợi vài ngày tuỳ vào lượng app đang được review. Thời gian review thì vài tiếng hoặc vài ngày thì tuỳ độ phức tạp của app và là app mới hay chỉ là update nhưng chắc chắn phải có sự tham gia của con người + trước đó đã được kiểm tra bằng phần mêm. Android chỉ có phần mềm check nên chỉ cần đợi vài tiếng là xong. Qua đó mới thấy sự tỉ mỉ của Apple và Google chỉ có xách dép chạy theo thôi. Còn nói người tải app trên store bị dính là do họ thì sai hoàn toàn và cho thấy sự cam chịu của người dùng Android cũng như sự bất lực của Google
thuca_1992
ĐẠI BÀNG
4 năm
@darklight_vtp "đi chơi gái sợ sida nhưng ko thích đeo bao". nói đã thấy so sánh khập khiễng và sự bất lực của người dùng Android. Đây là gái ở trong của hàng có chủ quản lý đàng hoàng k phải gái đứng đường. Vây nếu khách có bị gì thì là do người chủ quản lý k tốt chứ sao lại đổ cho khách? Bạn đi mua đồ vinmart bị sida thì là do bạn k biết kiểm tra đồ có sida k à?
Samsung đắt là có lý do cả. Thằng cấu hình tương đương giá bằng có nửa thì kêu gì . Mà túm lại là có cái gì đâu mà xắn mấy con này nhỉ . Cùng lắm đi một vài G văn hóa Nhật à cùng chứ mấy .
Arch Megumin
ĐẠI BÀNG
4 năm
@minhthuvc Câu comment ngu khủng khiếp VIP nhỉ, tự dưng bị ăn đá
@minhthuvc Lí do gì? Lí do là nó có chữ Samsung trên sản phẩm ah? 😁
@anh_ut_sg > Không biết bạn từng nghe tới Windows chưa, tới WannaCry, tới SMBv1 chưa? Không biết bạn đã từng dùng diệt virus chưa? Đã từng nghe tới sandbox chưa? Mandatory access control chưa?
Máy chạy Android nhiễm không có nghĩa tất cả đều sẽ nhiễm.
> Mình cũng không nói riêng Samsung, các hãng khác như Sony, Blackberry, Microsoft thì bạn tính sao. Nếu Huawei, Oppo, Xiaomi nhiễm, vẫn còn Samsung; nếu cả Samsung cũng bị thì không có nghĩa tất cả đều bị, vẫn còn đó Pixel, Sony, Microsoft, Blackberry.
> Thậm chí nếu các hãng trên đều dính, vẫn còn đó biến thể CopperheadOS (hardened AOSP).
Bên cạnh đó, chưa có khả năng xảy ra việc Samsung công bố "SS nó nó đứng ra khẳn định là đt của nó kg bị ảnh hưởng" dù sản phẩm của họ có ảnh hưởng hay không. xhelper chưa phải cái gì to lớn lắm với cộng đồng người dùng Android - cộng đồng mà đa phần không tải phần mềm ngoài kho ứng dụng về tự cài.
@anh_ut_sg Có vẻ như bạn chưa biết "Mandatory access control" là gì, và tại sao các máy của các hãng khác nhau lại có nguy cơ lây nhiễm khác. Vì thế chúng ta không cùng kênh/sóng trong vấn đề này.
Nếu bạn tiếp tục cuộc hội thoại, có thể tham khảo ví dụ về "Mandatory access control" tại đây:
http://tomoyo.osdn.jp/2.6/chapter-2.html.en
Nếu không chúng ta nên kết thúc cuộc hội thoại ở đây.
Về vấn đề "xhelper", dưới góc nhìn của một người dùng và không chuyên về công nghệ, mình chỉ có thể nghi ngờ về việc máy X có thể hoặc không có khả năng nhiễm, không thể khẳng định được chắc chắn hay không. Tuy nhiên thận trọng là điều bắt buộc vì dù máy bạn có thể hay không nhiễm xhelper, chẳng ai khẳng định được là Android hay bất kỳ hệ điều hành nào không có lỗ hổng 0-days hiện hữu.
Symatec hay gì thì cũng không thể thử tất cả các máy của một hãng X, hay tất cả các hãng. Khi đưa ra tuyên bố họ sẽ cần phối hợp với hãng bởi nhiều điều khoản ràng buộc từ khi họ mở máy lên, nhấn vào điều khoản, việc đưa tuyên bố hãng X nhiễm, hãng Y không nhiễm là không dễ dàng.
OH_MyGod
ĐẠI BÀNG
4 năm
Chắc mấy em Xiaomi mới dính nhiều.
Arch Megumin
ĐẠI BÀNG
4 năm
@OH_MyGod Lại một comment ngu như ông VIP bên trên
OH_MyGod
ĐẠI BÀNG
4 năm
@lehongxuan Xiaomi vốn đã cài mấy cái tương tự trong máy rồi, nó ăn tiền QC mà. Như Samsung có knox làm gì vượt qua được.
Ông bà ta có nói "Của rẻ là của ôi", không sai chút nào đâu.
OH_MyGod
ĐẠI BÀNG
4 năm
@Arch Megumin :v, tầm nhìn vi mô như chú sao hiểu.
OH_MyGod
ĐẠI BÀNG
4 năm
@mr_tam Bản chất là mấy hãng sản xuất dt giá rẻ nói chung và điện thoại TQ nói riêng nó đã tận dụng cái này rồi. Nên dù có cài hay không thì máy cũng đã có. Nhưng hãng nó làm hợp pháp, còn các Anh dev ăn theo thì ngta nói bất hợp pháp.
tokylo
TÍCH CỰC
4 năm
google cần tăng cường kiểm soát android và ngăn chặn việc cài đặt ứng dụng thủ công bằng file apk
gietchetad
TÍCH CỰC
4 năm
@tokylo Ngăn ko nổi -_-
@tokylo Android phổ biến nhờ “thả” cho cài đủ thứ. Chứ xiết lại như Apple thì người ta mua iPhone hết rồi. Nên xài đồ rẻ thì phải chấp nhận ăn virus thôi!
@tokylo Nói đối tác chưa ăn ai đòi quản android 😆 tạo ra để chúng nó ăn chúng nó phá có thèm quân tâm đâu. Bán xong hất cẳng
hugo1m8
CAO CẤP
4 năm
@Nguyen N°5 Android phổ biến là do giá trãi dài từ 2-3 đến 20-30 triệu, chứ có phải do thả cửa đâu, giờ siết lại ko cho cài apk ngoài thì ntd vẫn mua thôi bác ơi, vì cái giá.
Idol1990
TÍCH CỰC
4 năm
@Nguyen N°5 Tao thấy mày nói ngu:
Nếu xài Android đồ rẻ như mày nói. Và không cài ứng dụng từ bên thứ 3. Cần gì cứ vào CH Play cài. Thì làm sao bị vi rút này dc?

Android không phải là đồ rẻ, mà là sự đa dạng.
Đồ ngu.
Cài apk từ nguồn ngoài thì trách ai bây chừ.
@Blitzwaffen Bạn search bài viết Apple bị kiện vì độc quyền không cho cài các app ngoài Appstore
Vô đó xem sẽ thấy anti + Android user vào gào rú suốt mấy trang
@Seeder Hater Đó là chuyện của mấy bạn đó, mình có đụng j tới iOS chưa?
@Blitzwaffen ? Thì bạn hỏi mình trả lời thôi chứ hỏi ngược lại là sao chời???
@Seeder Hater Mình hỏi ông cà khịa kia mà :v
kilyku
TÍCH CỰC
4 năm
Đã từng bị con này trên OPPO F11Pro thực sự rất ức chế, khôi phục cài đặt gốc các kiểu không được. Tuy nhiên không hiểu sao 1 tháng nay nó tự biến mất dù không làm gì cả.
@kilyku Mấy anh tàu, nếu bạn kiểm tra ổ nhớ sẽ hay thấy taobao, alibaba, ...
@Darklord.Py chính xác, trong ổ nhớ điện thoại mở ra hay thấy mấy cái thư mục đó, dù mới reset máy xong chả cài gì cũng có nó
@kilyku Bác cài lại rom thì nó chạy đằng trời. Ít cài app linh tinh là đc thôi mà.
kilyku
TÍCH CỰC
4 năm
@Darklord.Py Đã check toàn bộ ứng dụng ko có bạn nhé, nó ẩn ko hiện tiên luôn. Đúng như bài viết này nói.
Hưaei fan ăn đạn rồi
mrford105
TÍCH CỰC
4 năm
May quá, samsung dùng S10 chắn chắn ko bị vì samsung có cơ chế bảo vệ từ firmware
Aro
TÍCH CỰC
4 năm
@pow_nguyen Ok fine 😃
mrford105
TÍCH CỰC
4 năm
@Barbatos à, mình xài iOS, mình tìm link mở thử file xHelper.apk trên kia lên iOS 11 thôi, mà mình ko thấy bị nhiễm nên mình nghĩ Samsung kiểu gì nó cũng phải hơn iOS bạn à. Mình là người đơn giản.
@mrford105 Bạn đùa mình pk. Ios dùng đuôi ipa. Rom là ipsw, đâu liên quan j đến apk đâu mà bạn mở dc. Bạn nên lấy 1 cái máy ss mà test, mà mình nói thật nhé, mình đã từng test apk ở ngoài trên n9 và nhiễm malware adware đến mức phải res factory đấy, nên đừng nói là ss ko nhiễm hay có knox j đó mà ổn nha. Chứ test kiểu bạn chả khác j bắt macos chạy exe😃
@Cong_An_Dai_Loan_+86 Mãi mới thấy được 1 cái comment chuẩn của bác này. Nó nằm trong android mà các ông cứ nói máy đắt tiền ko dính. Đắt tiền thì nó vẫn ăn vào android chứ có ăn vào os các ổng đâu mà đòi né được. Cứ xác định lúc nó hỏi có cài ứng dụng ko mà bấm vào có là dính hết, kể cả là note 10+ 5G.
Aro
TÍCH CỰC
4 năm
Bản chất mở nên người dùng phải tự chấp nhận thôi ai biểu cài từ nguồn khác 😁, cái gì nhạy cảm cứ để trên ios cho lành :D
@Aro Cứ xài iPhone, mọi thứ còn lại để Apple lo! Đỡ nặng đầu!
Bọn “chiên gia công nghệ“ xài Ăn roi giờ bị Ăn hành rồi!
pow_nguyen
ĐẠI BÀNG
4 năm
@Nguyen N°5 Cài từ app store còn ăn hành nữa là: https://9to5mac.com/2019/10/25/malware-iphone-apps/
Aro
TÍCH CỰC
4 năm
@pow_nguyen À có kiếm thông tin cho bác trên kia kìa nhớ kiếm rồi làm thử cho mình xem với nhé 😃, mình cũng dân code nên muốn biết thêm chút về cái vụ này 😃
Virus malware phát triển từng ngày. Không có gì là an toàn tuyệt đối. apple mà cho cài ứng dụng bên ngoài như google thì vẫn thế thôi. Cách tot nhất là ko cài ứng dụng từ bên ngoài hoặc ứng dụng từ nhà phát triển ko rõ ràng.
Idol1990
TÍCH CỰC
4 năm
@Nguyễn ThanHùng Chỉ mỗi bạn là 1 trong những ít thành viên Tinhte có óc trước khi bình.
khi bạn cho phép cài từ nguồn ngoài chợ chplay bạn đánh đổi bảo mật
a2tanhtuan
ĐẠI BÀNG
4 năm
Ra cài app cr@ck bên ngoài thì dính đạn, liên quan j samsung hay huaway ,cấm cài app ngoài store như IOS thì mặc may
Fake.Mem
TÍCH CỰC
4 năm
@a2tanhtuan Cũng liên qua đến heoquay đấy. Khi ko có CH PLAY.
Cài vớ cài vẩn thì chịu rồi
xuboom2002
ĐẠI BÀNG
4 năm
Sao mà bất nhân thế nhỉ?
Thông tin gây hoang mang quá nhỉ.
15centimett
ĐẠI BÀNG
4 năm
Blackberry nên ko sợ nhe. Super bảo mật 😆
15centimett
ĐẠI BÀNG
4 năm
Gom lúa tutu mua thoy
xài iOS thì an tâm không có con virus nào cả nhé
pipobear
ĐẠI BÀNG
4 năm
@thanhtrinh1990 nhưng vẫn hack được bạn nhé ;) chuyện bảo mật không của riêng hệ điều hành nào.
Idol1990
TÍCH CỰC
4 năm
@thanhtrinh1990 Nhưng rát tù túng.

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019