ព័ត៌មាន

របៀបដែល xHelper Android Malware Re-Installs ឡើងវិញទោះបីជា Factory Reset ក៏ដោយ

Wednesday, ទី15 April, ឆ្នាំ2020 13:04 pm 0

តើអ្នកនៅចាំ xHelper ទេ? ផ្នែកអាថ៌កំបាំងនៃមេរោគ Android ដែលតំឡើងដោយខ្លួនឯងនៅលើឧបករណ៍ដែលបានឆ្លងមេរោគ សូម្បីតែបន្ទាប់ពីអ្នកប្រើប្រាស់លុបវា ឬបន្ទាប់ពីFactory Reset ឧបករណ៍របស់ពួកគេឡើងវិញក៏ដោយក៏ដោយ វាស្ទើរតែមិនអាចលុបចេញបានទេ។ xHelper ត្រូវបានគេរាយការណ៍ថាចម្លងមេរោគទៅកាន់ឧបករណ៍ជាង ៤៥.០០០ គ្រឿង កាលពីឆ្នាំមុន ហើយចាប់តាំងពីពេលនោះមកអ្នកស្រាវជ្រាវ cybersecurity បានព្យាយាមបង្ហាញពីរបៀបដែល មេរោគនេះអាចគេចផុតពី Factory Reset ឡើងវិញ និងវិធីដែលវាបានឆ្លងទៅឧបករណ៍ជាច្រើនទៀត។

image

នៅក្នុង blog post មួយដែលត្រូវបានចេញផ្សាយថ្ងៃនេះ លោក Igor Golovin អ្នកវិភាគមេរោគនៅ Kaspersky ទីបំផុតបានដោះស្រាយរឿងអាថ៌កំបាំងដោយបង្ហាញព័ត៌មានលំអិតបច្ចេកទេសស្តីពី យន្តការតស៊ូដែលប្រើដោយមេរោគនេះ ហើយទីបំផុតក៏បានរកវិធីដើម្បីលុប xHelper ចេញពី ឧបករណ៍ដែលបានឆ្លងមេរោគបានទាំងស្រុង។ ក្នុងនាមជាវ៉ិចទ័រវាយប្រហារដំបូងនិងសម្រាប់ចែកចាយកម្មវិធីមេរោគបន្លំខ្លួនថាជាកម្មវិធីសម្អាត និង បង្កើនល្បឿនល្បឿនដ៏ពេញនិយមសម្រាប់ស្មាតហ្វូន ប៉ះពាល់ដល់អ្នកប្រើប្រាស់ភាគច្រើននៅក្នុង ប្រទេសរុស្ស៊ី (៨០.៥៦%) ឥណ្ឌា (៣,៤៣%) និង Algeria (២,៤៣%)។

“ប៉ុន្តែតាមពិត វាមិនបានទទួលប្រយោជន៍អ្វីទេ: បន្ទាប់ពីដំឡើងរួច អ្នកសំអាតបានបាត់ទៅវិញ ហើយ គ្មានកន្លែងណាដែលអាចមើលឃើញនៅលើអេក្រង់ឬនៅក្នុង program menu ទេ។ អ្នកអាចឃើញវា បានដោយពិនិត្យមើលបញ្ជីកម្មវិធីដែលបានតំឡើងនៅក្នុង system setting” នេះបើយោងតាម Golovin ។ នៅពេលត្រូវបានតំឡើងដោយអ្នកប្រើប្រាស់ដែលមិនបានរំពឹងទុក កម្មវិធីព្យាបាទចុះឈ្មោះខ្លួនវាជា foreground service ហើយបន្ទាប់មកទាញយកឯកសារបង់ប្រាក់ដែលបានអ៊ិនគ្រីបដែលបានប្រមូល និងបញ្ជូនព័ត៌មានអត្តសញ្ញាណរបស់ឧបករណ៍គោលដៅទៅម៉ាស៊ីនមេត្រួតពិនិត្យអ្នកវាយប្រហារ។

image

នៅជំហានបន្ទាប់ កម្មវិធីព្យាបាទប្រតិបត្តិការ unclear payload ដែលមិនត្រឹមត្រូវមួយផ្សេងទៀតដែល បង្កឱ្យមានការកេងប្រវ័ញ្ច rooting exploits Android និងការប៉ុនប៉ងដើម្បីទទួលបានការចូលដំណើរការ administrative ទៅប្រព័ន្ធប្រតិបត្តិការរបស់ឧបករណ៍។ Golovin បាននិយាយថា “មេរោគអាចទទួលបានការចូលប្រើជាចម្បងលើឧបករណ៍ដំណើរការដោយ ប្រព័ន្ធប្រតិបត្តិការ Android ជំនាន់ទី ៦ និង ៧ ពីក្រុមហ៊ុនផលិតចិន (រួមទាំង ODMs)”។ មេរោគស្ថិតនៅស្ងៀមស្ងាត់នៅលើឧបករណ៍ ហើយរង់ចាំបញ្ជាពីអ្នកវាយប្រហារ។ យោងតាមការ វិភាគពីមុននៃមេរោគដូចគ្នាដោយអ្នកស្រាវជ្រាវ Symantec បានប្រើការភ្ជាប់ SSL certificate ដើម្បី ការពារការទំនាក់ទំនងរបស់ខ្លួនពីការស្ទាក់ចាប់។

“មេរោគដំឡើង backdoor ដែលមានសមត្ថភាពប្រតិបត្តិពាក្យបញ្ជាជាអ្នកប្រើជាន់ខ្ពស់ superuser។ វាផ្តល់ឱ្យអ្នកវាយប្រហារនូវការចូលប្រើទិន្នន័យកម្មវិធីទាំងអស់ ហើយអាចត្រូវបានប្រើដោយមេរោគ ផ្សេងទៀតផងដែរ ឧទាហរណ៍ CookieThief”។ ប្រសិនបើការវាយប្រហារជោគជ័យកម្មវិធីព្យាបាទបំពានសិទ្ធិជា root ដើម្បីដំឡើង xHelper ដោយ លួចចម្លង package files ទៅ system partition (/system /bin folder) បន្ទាប់ពីដំឡើងវាឡើងវិញនៅ ក្នុង write-mode។ 

លោក Golovin បាននិយាយថា “រាល់ឯកសារនៅក្នុង target folders ត្រូវបានកំណត់លក្ខណៈដែលមិន អាចផ្លាស់ប្តូរបាន ដែលធ្វើឱ្យវាពិបាកក្នុងការលុបមេរោគ ពីព្រោះប្រព័ន្ធនេះមិនអនុញ្ញាតឱ្យអ្នកប្រើ ជាន់ខ្ពស់ superusers លុបឯកសារជាមួយលក្ខណៈ attribute នេះទេ”។ អ្វីដែលគួរឱ្យចាប់អារម្មណ៍ជាងនេះទៀតនោះគឺថាកម្មវិធីសុវត្ថិភាពស្របច្បាប់ឬអ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់អាចគ្រាន់តែដំឡើង re-mount the system partition ឡើងវិញក្នុងវិធីដូចគ្នាដើម្បីលុប ឯកសារមេរោគជាអចិន្ត្រៃយ៍របស់ xHelper កែប្រែ system library (libc.so) ដែលមានបំណងការពារ ការឆ្លងមេរោគអ្នកប្រើពីការដំឡើង re-mounting system partition ឡើងវិញនៅក្នុង write mode។

លោក Golovin បានមានប្រសាសន៍ថា “លើសពីនេះ Trojan ទាញយកនិងតំឡើងកម្មវិធីដែលមាន គំនិតអាក្រក់ជាច្រើនទៀត ហើយលុបកម្មវិធីត្រួតពិនិត្យការចូលជា root ដូចជា Superuser ជាដើម។ យោងទៅតាម Kaspersky ការជំនួសបណ្ណាល័យដែលបានកែប្រែជាមួយបណ្ណាល័យមួយពីកម្មវិធី original firmware សម្រាប់ស្មាតហ្វូន Android របស់អ្នកអាចបើក re-enable mounting system partition ប្រព័ន្ធឡើងវិញនៅក្នុង write mode ដើម្បីលុបមេរោគ Xhelper។ ទោះជាយ៉ាងណាក៏ដោយជំនួសឱ្យការធ្វើតាមនីតិវិធីបច្ចេកវិទ្យាដើម្បីកម្ចាត់មេរោគអ្នកប្រើដែលរង ផលប៉ះពាល់ត្រូវបានណែនាំឱ្យធ្វើបច្ចុប្បន្នភាពទូរស័ព្ទដែលបានបម្រុងទុករបស់ពួកគេជាថ្មីជាមួយ កម្មវិធីបង្កប់ដែលបានទាញយកពីគេហទំព័រផ្លូវការរបស់អ្នកលក់ឬដោយដំឡើងខុសគ្នា ប៉ុន្តែត្រូវគ្នា នឹងប្រព័ន្ធប្រតិបត្តិការ Android ROM។

Tags: