Leleplezték a kiirthatatlannak vélt xHelper működési mechanizmusát. Úgy működik, mint az orosz matrjoska baba: egyiket szétszeded, ott van alatta a másik és így tovább. Azért nem lehetett kiirtani a mobilokról és a tabletekről, mert a rendszer több rétegébe is befészkelte magát. Még a gyári állapot visszaállítása sem segít.

Főleg a régebbi Androidokat veszélyezteti

Az xHelper főleg Oroszországban kaszált (ott az érintett telefonok 80 százaléka fertőzött), de Európában és Délnyugat-Ázsiában, Dél-Amerikában és egyes Afrikai országokban is felbukkant a Kaspersky adatai szerint. Némi szerencse, hogy azokat a régebbi eszközöket vette célba, amiken a 2015 őszén megjelent Android 6.x (Marshmallow) és az egy évvel később kiadott 7.x (Nougat) fut. Bár a 6-os kiadás már nem is támogatott rendszer, a probléma összességében az aktívan használt androidos eszközök mintegy 15 százalékát érinti.

A kórokozó a legtöbb eszközt nem hivatalos alkalmazásboltokból szerzett olyan appon keresztül fertőzi meg, amely azt ígéri, hogy segít a rendszer tisztításában és gyorsításában. Az ilyen alkalmazások népszerűek, és az ilyenekkel – akárcsak a vírusirtókkal – szemben nem eléggé bizalmatlanok a felhasználók.

Telepítés után azonban ikonja eltűnik a képernyőről, és csak a telepített alkalmazások listájában jelenik meg. Első lépésben egy backdoort nyit az eszközön, amin keresztül lényegében bármilyen érzékeny adatot ki tud szivárogtatni illetéktelenek.

Van benne egy viszonylag egyszerű titkosítással elrejtett fájl is, ami lényegében a "hasznos terhet" hordozza. A telepítés után először a hátsó ajtón keresztül elküldi egy weboldalra az áldozat eszközének fontosabb adatait (android_id, gyártó, modell, firmware verziója stb.), majd letölti a Trojan-Dropper.AndroidOS.Agent.of modult. A modul dekódolja és elindítja a titkosított fájt egy natív könyvtár segítségével. Az pedig egy újabbat, majd egy újabbat... És így tovább. A kárós kódokat tartalmazó fájlok szekvenciálisan tárolódnak úgy egy mappban, hogy azokhoz más program nem fér hozzá. Ezt nevezi a Kaspersky kutatója, Igor Golovin matrjoska-rendszernek (a külső matrjoska elrejti az alatta lévőket).

Mivel a károkozó teljes root jogosultságot szerez a rendszer fölött – írási jogosultsága van az operációs rendszer partícióján is –, így az xHelpert tudja telepíteni a /system/bin mappában. A mappában minden fájlnak módosíthatatlanok lesznek az attribútumai, így az xHelperhez sem fér hozzá az operációs rendszer fölötti rétegben futó program. Ha a felhasználó gyári állapot visszaállításával próbálkozik, akkor is ott marad, és a rendszerrel együtt újratelepíti magát. Ráadásul még módosít is néhány bitet a rendszerben, ami tovább nehezíti az eltávolítását.

Van megoldás, csak bonyolult

A Kaspersky azt javasolja, hogy akinek megfertőződött az eszköze, megpróbálkozhat a módosított libc helyreállításával az Android helyreállítási (Recovery) módjával, majd újra becsatolhatja a rendszerpartíciót írási módban, és így törölheti a káros programokat.

Ennél sokkal hatásosabb azonban – írja Golovin – a rendszer teljes legyalulása: törölni a flash memóriát a rendszerpartícióval együtt, és felrakni az operációs rendszer egy tiszta példányát.

Bár ez biztosabb módszer, a Kaspersky kutatója arra is felhívja a figyelmet, hogy a leginkább érintett kínai gyártmányú telefonoknál a firmware sok esetben tartalmazhat előre telepített rosszindulatú kódot, ami akár az xHelpert is újratelepítheti automatikusan. Ilyenkor segít ugyan egy alternatív firmware, de az meg a telefon funkcionalitását rontja.