روش پاکسازی گوشیها از بدافزاری که حذفش غیرممکن بود
با گذشت ۱۰ ماه از زمانی که xHelper به دستگاههای اندرویدی راه یافته بود، محققان امنیتی موفق به کشف روشی برای پاکسازی دستگاههای هوشمند اندرویدی از این بدافزار شوند؛ بدافزاری که تا به حال حذف آن غیرممکن بود.
این روزها اخبار متعددی درباره انتشار بدافزار و باج افزارهای مختلف در فضای مجازی، محیط اینترنت و گوشیهای هوشمند که منجر به سرقت اطلاعات کاربران و نفوذ هکرها و سوءاستفاده از حریم خصوصی کاربران میشود، به گوش میرسد.
محققان و پژوهشگران فعال در حوزه امنیت سایبری نیز با تحت بررسی قرار دادن سختافزار و نرمافزارهای گوناگون در تلاشند تا علاوه بر هشدار دادن و آگاهی رساندن به کاربران در فضای مجازی، به شرکتهای توسعهدهنده مربوطه نیز اطلاع و هشدار دهند که هرچه سریعتر با اقدامات لازم همچون ارائه و انتشار نسخههای بهروزرسانی امنیتی، آسیبپذیری و ضعفهای امنیتی مذکور را برطرف کرده و از ادامه نفوذ هکرها و مجرمان سایبری به حریم شخصی کاربران جلوگیری به عمل بیاورند.
چندی پیش بود که برنامه مخربی به نام xHelper کشف شد. اپلیکیشن xHelper روی گوشی تلفن همراه تبلیغات ناخواسته نمایش میدهد، خود را از دید کاربران پنهان میکند و همچنین قادر به دانلود برنامههای مخرب بیشتری است. این اپلیکیشن میتواند پس از حذف، مجدداً خود را نصب کرده و به گونهای طراحی شده است که با ظاهر نشدن در منوی برنامههای گوشی، پنهان میماند. اپلیکیشن xHelper توانسته بود در مدت شش ماه، بیش از ۴۵ هزار دستگاه را آلوده کند.
اما بالاخره با گذشت ۱۰ ماه از زمانی که xHelper به دستگاههای اندرویدی راه یافته بود، بر اساس گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) محققان امنیتی موفق به کشف روشی برای پاکسازی دستگاههای هوشمند اندرویدی از این بدافزار شدند؛ بدافزاری که تا به حال حذف آن غیرممکن بود.
بدافزار xHelper نخستین بار در مارس ۲۰۱۹ زمانی که کاربران از برنامهای ناشناخته روی گوشی اندرویدی خود خبر دادند که حتی با برگشتن به تنظیمات کارخانه نیز حذف نمیشد، شناسایی شد. منابعی که xHelper ممکن از آن بارگیری شده باشد بطور دقیق مشخص نیست اما طبق گفته محققان امنیتی منبع اصلی، «web redirect»هایی بودند که کاربران را به صفحات وب مخرب هدایت میکردند. این صفحات مخرب امکان دانلود برنامههای اندرویدی مخرب را فراهم میکردند. درنهایت این برنامههای مخرب اندرویدی تروجان xHelper را دانلود و نصب میکنند.
بدافزار xHelper با هر بار بازگشتن دستگاه اندرویدی به تنظیمات کارخانه حذف میشود اما بعد از چند ساعت بدون نیاز به تعامل با کاربر مجدداً بهصورت خودکار نصب میشود. تنها راه برای پاکسازی دستگاه از این بدافزار، فلش (flash) کردن دستگاه و نصب مجدد سیستم عامل اندروید روی آن است که البته اعمال این روش برای همهی کاربران امکانپذیر نیست چراکه اکثرا به طور صحیح به firmware image سیستم عامل اندرویدی دسترسی ندارند.
روش پاکسازی گوشیها از xHelper
این بدافزار از فرآیندی در برنامک گوگل پلیاستور برای نصب مجدد خود استفاده میکند؛ همچنین به کمک دایرکتوریهای خاصی که در دستگاه اندرویدی میسازد فایل APK خود را روی دیسک ذخیره میکند تا امکان حذف آن از طریق بازگشت به تنظیمات کارخانه وجود نداشته باشد، زیرا با بازگشت به تنظیمات کارخانه برنامههای دستگاه اندرویدی حذف میشود اما فایلها و دایرکتوریها باقی میمانند.
به گفته نیتان کولیر، محقق امنیتی مالوربایتز، زمانی که برنامه گوگل پلیاستور عملیاتی شبیه به اسکن را شروع میکند، بدافزار، مجدداً و به صورت خودکار خود را نصب میکند. با وجود این، روشی پیدا شده که میتوان از طریق آن، از نصب مجدد این بدافزار جلوگیری کرد.
برای این کار باید برنامه مدیریت فایلی (file manager) که امکان جستجوی فایلهای و دایرکتوریها را دارد را نصب کنید، سپس بهطور موقت برنامه گوگل پلیاستور را برای جلوگیری از نصب مجدد xHelper متوقف کنید. به قسمت برنامهها در تنظیمات رفته و در بخش گوگل پلیاستور، دکمه غیرفعال را بزنید. عبارت com.mufc را در فایل منیجر جستوجو کنید و در صورت یافتن، فایلها را به ترتیب تاریخ مرتب کرده و هر گروهی از فایلها را که با com.mufc آغاز میشود و تاریخ یکسان دارند (به جز دایرکتوریهای اصلی core مانند Download) حذف کنید. سپس مجداد گوگل پلیاستور را فعال کنید.