Fabrika ayarlarını geri yüklemek bile işe yaramıyor: xHelper, güvenlik uzmanları için hâlâ bir baş ağrısıdır
Mayıs 2019'da güvenlik satıcısı Malwarebytes tarafından ifşa edildiğinden, Android kötü amaçlı program xHelper cep telefonu üreticilerinin odak noktası olmuştur. O zamandan beri, çoğu Android güvenlik uygulaması xHelper algılama özelliğini ekledi; bu teorik olarak çoğu cihazın bu tür kötü amaçlı programların saldırılarına karşı korunması gerektiği anlamına geliyor. Ama aslında, fabrika ayarları hala geri yüklense bile, xHelper'ı tamamen kaldırmak düşündüğümüzden daha zordur.
Malwarebytes'e göre, bu enfeksiyonların kaynağı, kullanıcıları Android uygulamalarını barındıran web sayfalarına gönderen bir "ağ yönlendirmesi" dir. Bu siteler, kullanıcılara resmi olmayan Android uygulamalarının Play Store dışından dolaylı olarak nasıl yükleneceği konusunda rehberlik eder. Bu uygulamalardaki gizli kod, xHelper Truva Atı'nı indirecektir.
İyi haber şu ki, Truva atı şu anda yıkıcı işlemler gerçekleştirmiyor ve çoğu zaman izinsiz açılır reklamlar ve spam bildirimleri gösterecek. Reklamlar ve bildirimler, kullanıcıları Play Store'a yönlendirecek ve kullanıcılardan diğer uygulamaları yüklemelerini isteyecek - bu şekilde, xHelper yükleme başına ödemeden para kazanıyor.
Can sıkıcı olan şey, xHelper hizmetinin silinememesidir, çünkü kullanıcı tüm cihazı fabrika ayarlarına sıfırladıktan sonra bile Trojan her seferinde kendini yeniden yükleyecektir. XHelper'ın fabrika ayarlarına sıfırlama işleminden nasıl kurtulduğu hala bir muamma. Ancak Malwarebytes ve Symantec, xHelper'ın sistem hizmetleri ve sistem uygulamalarında değişiklik yapmayacağını belirtti.
xHelper ilk olarak Mart ayında keşfedildi. Ağustos ayına kadar, yavaş yavaş 32.000'den fazla cihaza bulaştı. Geçen yıl Ekim ayı itibarıyla Symantec verilerine göre toplam enfeksiyon sayısı 45.000'e ulaştı. Bu kötü amaçlı yazılımın bulaşma yörüngesi artmaya devam ediyor. Symantec'e göre, xHelper her gün ortalama 131 yeni kurbana ve her ay yaklaşık 2.400 yeni kurbana neden oluyor.
En son Malwarebytes raporunda şöyle yazıyordu: "Google Play'de kötü amaçlı programlar olmasa da, Google Play'deki bazı olaylar, muhtemelen bazı dosyalar içinde depolandığı için yeniden bulaşmayı tetikledi. Ayrıca, bunlar Google Play'i şu şekilde gizleyebilir: Diğer kaynaklardan kötü amaçlı programlar yükleyin. "
Güvenlik satıcısı, müşterinin cihazına xHelper'ın nasıl bulaştığını ayrıntılı olarak açıkladı. Virüslü Android telefonda depolanan dosyaları dikkatlice kontrol ettikten sonra, Truva atı programının com.mufc.umbtts dizininde bulunan APK'ye gömülü olduğunu gördük. Daha da kötüsü araştırmacılar, güvenlik açığının enfeksiyonu tetiklemek için Google Play'i nasıl kullandığını hala bilmiyorlar.
Malwarebytes araştırmacıları şunları açıkladı: "Bu kafa karıştırıcı kısım: Trojan.Dropper.xHelper.VRW'nin yüklenmesi cihazda gösterilmiyor. Algılamadan kaçınmak için birkaç saniye içinde kurulacağına, çalışacağına ve yeniden kaldırılacağına inanıyoruz- Bunların hepsi Google Play tarafından tetikleniyor. "
Bulaşmayı temizlemek için, kullanıcıların virüsten koruma yazılımıyla cihaz taraması yapmadan önce Google Play Store'u devre dışı bırakmaları gerekir. Aksi takdirde, virüs açıkça silinmiş olsa da, kötü amaçlı yazılım yayılmaya devam edecektir.
