'Giải mã' phần mềm độc hại tự động cài đặt lại dù đã bị gỡ khỏi máy

Theo thông tin trên Securitydaily, chuyên gia phân tích phần mềm độc hại Igor Golovin của Kaspersky đã giải mã được bí mật mà mã độc xHelper hoạt động và tấn công trên điện thoại dùng hệ điều hành Android.

Theo đó, phần mềm này có thể tự cài đặt lại ngay cả sau khi người dùng xóa nó hoặc khôi phục cài đặt gốc cho thiết bị của họ. Malware này gần như không thể gỡ bỏ.

xHelper được xác nhận đã lây nhiễm hơn 45.000 thiết bị vào năm ngoái. Kể từ đó, các nhà nghiên cứu về an ninh mạng đã cố gắng tìm ra cách thức Malware này tồn tại khi người dùng tiết lập Khôi phục cài đặt gốc và làm thế nào mà nó lại lây nhiễm rất nhiều thiết bị.

Cũng theo lý giải của chuyên gia trên, phương pháp tấn công và phân phối ban đầu của phần mềm độc hại này chính là ngụy trang thành một ứng dụng tối ưu hóa tốc độ và dọn dẹp phổ biến cho điện thoại thông minh. Những người dùng bị ảnh hưởng chủ yếu đến từ Nga (80,56%), Ấn Độ (3,43%) và Algeria (2,43%).

Golovin nói rằng “Tuy nhiên trong thực tế, không gì có thể hạ gục xHelper. Sau khi cài đặt, ‘trình dọn dẹp’ biến mất và không còn dấu vết nào trong menu ứng dụng hay trên màn hình điện thoại. Người dùng chỉ có thể thấy nó bằng cách kiểm tra danh sách các ứng dụng đã cài đặt trong Cài đặt hệ thống”.

Một khi được cài đặt, ứng dụng độc hại sẽ tự thiết lập như một foreground service (thực hiện một số thao tác mà người dùng chú ý, có thể thấy rõ ràng và có hiển thị Thông báo). Sau đó nó sẽ trích xuất một payload được mã hóa để thu thập và gửi thông tin nhận dạng của thiết bị cho một máy chủ tấn công điều khiển từ xa.

Tiếp theo, ứng dụng độc hại sẽ chạy một payload ẩn khác, kích hoạt một tập hợp khai thác root Android và cố gắng chiếm quyền quản trị truy cập vào hệ điều hành của thiết bị.

Nhà nghiên cứu cho biết thêm “Phần mềm độc hại có thể chiếm quyền truy cập root chủ yếu trên các thiết bị chạy Android phiên bản 6 và 7 từ các nhà sản xuất Trung Quốc (bao gồm cả ODM – các sản phẩm được thiết kế và sản xuất theo đơn đặt hàng)”.

Phần mềm độc hại nằm im lặng trong máy và chờ lệnh từ những kẻ tấn công. Theo một phân tích trước đây của các nhà nghiên cứu Symantec về một malware tương tự, những malware này sử dụng SSL certificate pinning (cơ chế bảo mật sử dụng giao thức mật mã Transport Layer Security) để tránh bị chặn liên lạc.

Nhà nghiên cứu cũng nói thêm, phần mềm độc hại xHelper còn có thể tải xuống và cài đặt nhiều chương trình độc hại hơn và xóa các ứng dụng kiểm soát truy cập gốc như thể nó là superuser”. Kể cả khi ứng dụng bảo mật hợp pháp hay người dùng gỡ bỏ malware khỏi phân vùng hệ thống để vĩnh viễn loại chương trình trên máy, xHelper vẫn tự sửa đổi thư viện hệ thống nhằm ngăn người dùng cài lại phân vùng trong chế độ Ghi hệ thống.

Việc này khiến thao tác khôi phục máy về cài đặt gốc cũng trở nên vô dụng. Các chuyên gia cho biết biện pháp duy nhất để vĩnh viễn loại bỏ xHelper khỏi máy là cài đặt lại máy bằng một phiên bản hệ điều hành “sạch” tải từ website chính thức của nhà cung cấp, hoặc sử dụng một phiên bản ROM Android khác miễn là tương thích với máy đang dùng.

Theo Kaspersky, việc thay thế thư viện đã sửa đổi bằng thư viện từ firmware gốc cho điện thoại Android có thể kích hoạt lại phân vùng hệ thống gắn kết, xóa các ứng dụng kiểm soát truy cập gốc, từ đó loại bỏ vĩnh viễn malware xHelper.

Thay vì làm theo các bước trên để loại bỏ phần mềm độc hại, người dùng bị ảnh hưởng được khuyến nghị chỉ cần flash lại backdoored điện thoại của họ bằng một bản sao được tải xuống từ trang web chính thức của nhà cung cấp hoặc bằng cách cài đặt khác có tương thích ROM Android. elper, cho thấy chi tiết kỹ thuật được sử dụng trong cơ chế “bất khuất” của chương trình, đồng thời tìm ra cách “nhổ cỏ tận gốc” trên các thiết bị đã nhiễm.

An Dương (T/h)