Cho tới nay, xHelper chưa gây ra ảnh hưởng nghiêm trọng tới người dùng, mà chỉ “khủng bố” bằng hàng loạt thông báo spam quảng cáo. Đa phần các nạn nhân đều ở Nga, Mỹ, Ấn Độ và Algeria. Chưa có bằng chứng xHelper từng được phân phối trên Google Play.
Mới đây, các chuyên gia Kaspersky đã giải mã được bí mật về cơ chế của xHelper và tìm ra cách loại bỏ nó.
Đầu tiên, phần mềm độc hại này giả dạng làm một phần mềm dọn dẹp và tối ưu tốc độ cho điện thoại. Sau khi cài đặt, chương trình sẽ tự động biến mất không để lại dấu vết trên màn hình hay danh mục phần mềm. Điều này khiến người dùng khó tìm ra nó để gỡ bỏ. Cách duy nhất để tìm thấy là kiểm tra danh sách các ứng dụng đã cài đặt trong phần cài đặt hệ thống.
Sau khi cài đặt, xHelper tự thiết lập một cửa hậu (backdoor) được điều khiển từ xa bởi các tin tặc. Sau đó, phần mềm sẽ kích hoạt một lệnh khai thác Android và chiếm đoạt quyền quản trị trong hệ điều hành. Backdoor được tạo ra có quyền truy cập vào các dữ liệu nhạy cảm, bao gồm cookie trình duyệt được sử dụng để đăng nhập tự động vào các website.
Theo Igor Golovin - chuyên gia phân tích phần mềm độc hại của Kaspersky, việc tái nhiễm xHelper sau khi gỡ bỏ phần mềm hoặc reset máy là do một loại mã độc trojan có tên Triada. Triada chiếm quyền quyền quản trị viên (superuser) và cài đặt một loạt các tệp độc hại trực tiếp vào phân vùng hệ thống.
Các tệp này được thiết lập ở chế độ chỉ đọc (read-only), ngụy trang giữa các tệp hệ thống được đăng ký thuộc tính bất biến, khiến chúng rất khó bị xóa vì hệ thống Android không cho phép gỡ bỏ các file dạng này. Tuy nhiên, cơ chế tự vệ này vẫn có thể bị xóa bởi lệnh chattr. Đây là loại lệnh dùng để khóa tệp về chế độ read-only nên có thể sử dụng chính nó để mở chế độ ghi (write) rồi xóa.
Thậm chí, xHelper xóa tất cả các ứng dụng liên quan đến root (ví dụ như superuser) và không cho phép người dùng gỡ bỏ ngay cả khi có quyền. Nó tự sửa đổi các thư viện Android để ngăn việc cài lại phân vùng trong chế độ ghi hệ thống.
Thông thường, người dùng sẽ không thể loại bỏ được hoàn toàn các tệp ẩn của xHelper trên hệ thống bằng thao tác gỡ bỏ. Chương trình com.diag.patches.vm8u được cài đặt trong phân vùng hệ thống sẽ giúp xHelper “hồi sinh” ngay khi có cơ hội. Nhưng nếu điện thoại có chế độ khôi phục (Recovery Mode), người dùng có thể thử trích xuất tệp libc.so từ chương trình cơ sở gốc (original firmware) và thay thế tệp bị nhiễm độc trước khi xóa tất cả các phần mềm độc hại khỏi phân vùng hệ thống.
Điều đáng chú ý là phần mềm độc hại này chủ yếu lây nhiễm với các phiên bản Android cũ như 6 và 7 hoặc trên một số dòng điện thoại "sao chép" của Trung Quốc. Một cách khác, để loại bỏ vĩnh viễn xHelper khỏi máy dễ dàng hơn, người dùng nên cài đặt lại, nâng cấp máy bằng một phiên bản hệ điều hành chính thức được tải từ nhà cung cấp hoặc flash ROM với một bản tương thích.
Tuệ Minh
20:00 | 04/02/2019
15:00 | 21/03/2018
15:00 | 21/05/2020
15:00 | 21/05/2020
09:00 | 11/10/2024
Microsoft vừa công bố phát hành Windows 11 với phiên bản 24H2, đây là bản cập nhật tính năng tiếp theo cho hệ điều hành này (còn được gọi là Windows 11 2024 Update).
14:00 | 11/09/2024
Keylogger là phần cứng hoặc phần mềm có khả năng theo dõi tất cả các hoạt động thao tác nhập bàn phím, trong đó có các thông tin nhạy cảm như tên người dùng, mật khẩu thẻ tín dụng, thẻ ngân hàng, tài khoản mạng xã hội hay các thông tin cá nhân khác. Keylogger thậm chí có thể ghi lại các hành động gõ phím từ bàn phím ảo, bao gồm các phím số và ký tự đặc biệt. Bài báo sẽ hướng dẫn độc giả cách thức phát hiện và một số biện pháp kiểm tra, ngăn chặn các chương trình Keylogger nhằm bảo vệ máy tính trước mối đe dọa nguy hiểm này.
08:00 | 26/08/2024
DNS Tunneling là một kỹ thuật sử dụng giao thức DNS (Domain Name System) để truyền tải dữ liệu thông qua các gói tin DNS. Giao thức DNS được sử dụng để ánh xạ các tên miền thành địa chỉ IP, nhưng DNS tunneling sử dụng các trường dữ liệu không được sử dụng thông thường trong gói tin DNS để truyền tải dữ liệu bổ sung. DNS Tunneling thường được sử dụng trong các tình huống mà việc truy cập vào Internet bị hạn chế hoặc bị kiểm soát, như trong các mạng cơ quan, doanh nghiệp hoặc các mạng công cộng. Tuy nhiên, DNS Tunneling cũng có thể được sử dụng để thực hiện các cuộc tấn công mạng, bao gồm truy cập trái phép vào mạng hoặc truyền tải thông tin nhạy cảm mà không bị phát hiện.
14:00 | 05/08/2024
Mỗi quốc gia sẽ có các quy định và chính sách riêng để bảo vệ dữ liệu cá nhân, nhưng có một số nguyên tắc và biện pháp chung mà hầu hết các quốc gia áp dụng để đảm bảo an toàn và quyền riêng tư cho dữ liệu cá nhân của công dân. Dưới đây là một số cách mà các nước trên thế giới áp dụng bảo vệ dữ liệu cá nhân cho công dân của mình.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong bối cảnh an ninh mạng ngày càng trở nên phức tạp và tinh vi, các tổ chức đang dần nhận ra rằng các phương pháp bảo mật truyền thống không còn đáp ứng được yêu cầu bảo vệ hệ thống của họ. Chính trong hoàn cảnh này, mô hình Zero Trust nổi lên như một giải pháp toàn diện, giúp bảo vệ hệ thống mạng khỏi các cuộc tấn công cả từ bên ngoài và bên trong. Tuy nhiên, việc triển khai Zero Trust không đơn giản, bài học kinh nghiệm nào để các tổ chức triển khai thành công mô hình bảo mật hiện đại này?
13:00 | 11/11/2024
