Xhelper، بدافزاری مرموز روی دستگاه های اندرویدی

در طول چند ماه گذشته صدها کاربر اندروید شکایت هایی از یک بدافزار مرموز داشته اند که بصورت مخفی روی سیستم اندروید می ماند و با پاک کردن و حتی ریست کردن گوشی به تنظیمات کارخانه هم دوباره روی سیستم نصب میشود.

Xhelper بدافزاری است که تا به اینجای کار چیزی در حدود ۴۵۰۰۰ دستگاه اندرویدی را در شش ماه گذشته آلوده کرده وهم چنان در حال پخش شدن است وحداقل در ماه ۲۴۰۰ دستگاه را آلوده می کند.این آمار توسط موسسه امنیت سایبری Symantec ارائه شده.

گزیده ای از کامنت هایی که کاربران در مورد این بدافزار در فوروم های آنلاین قرار داده اند به شرح زیر است:

“Xhelper تقریبا هر روز خودش را دوباره نصب میکند”

“گزینه نصب اپلیکیشن از سورس های ناشناس بصورت خودکار روشن میشود.”

“من موبایلم را ریست کردم وتمام اطلاعات آنرا پاک کردم ولی بعد از دوباره بالا آمدن Xhelper دوباره برگشته بود.”

“این برنامه بصورت پیش فرض روی گوشی من نصب بود”

“گوشی های ارزان وبی نام ونشان نخرید”

هنوز منشا اصلی این بدافزار مشخص نشده ولی به عقیده کارشناسان Symantec عامل دانلود کردن ونصب کردن این بدافزار می تواند یک اپلیکیشن آلوده که بصورت پیش فرض روی بعضی دستگاه های اندرویدی نصب شده است ، باشد.

هیچ کدام از نمونه های انتخاب شده در مارکت گوگل پلی وجود نداشتند واحتمال دارد که بدافزار Xhelper از سورس های ناشناس دانلود شده باشد اپلیکیشن های مشابهی روی بعضی برند های خاص معمولا دیده میشوند واین به این معنی است که مهاجمین روی برند های خاصی تمرکز کرده اند.

این بدافزار بعد از نصب شدن هیچ گونه رابط کاربری در دسترس نمی گذارد و بصورت اپلیکیشنی نصب میشود که در روی application launcher نشان داده نمیشود تا مخفی بماند.

به منظور اجرا کردن خود ،Xhelper  به یک سری اعمال خارجی که توسط کاربر انجام میشود متکی است ،مثل متصل کردن دستگاه آلوده به منبع برق ویا جدا کردن آن،ریبوت کردن دستگاه ویا نصب وپاک کردن یک اپلیکیشن.

به محض اجرا بدافزار به سرور کنترل خود از طریق یک کانال رمز نگاری شده وصل میشود و payload های تکمیلی مثل dropperها،clickerها و روت کیت ها را دانلود میکند.که در نهایت می تواند به سرقت اطلاعات ویا بدست گرفتن کنترل کامل دستگاه اندرویدی بیانجامد.

بیشتر برنامه های آنتی ویروس برای اندروید Xhelper را به عنوان بدافزار شناسایی میکنند ولی هنوز در بلاک کردن وپاک کردن کامل آن ضعف دارند.

از آنجاییکه منبع بدافزار نا مشخص است کاربران اندروید بهتر است تمهیدات ساده ولی مهم زیر را به کارببرند:

  • بروز نگه داشتن دستگاه و اپلیکیشن ها
  • عدم دانلود کردن اپلیکیشن از سورس های ناشناس
  • توجه کامل به دسترسی هایی که اپلیکیشن در زمان نصب تقاضا میکند.
  • بک آپ گرفتن به موقع از اطلاعات
  • نصب یک برنامه آنتی ویروس شناخته شده و خوب.

آسیب پذیری در چیپ ست های Qualcom

یک سری آسیب پذیری حاد در چیپ ست های Qualcom  شناسایی شده که تهدیدی برای دستگاه های اندروید به شمار می رود و هکر ها می توانند با فرستادن بسته های آلوده در فضا وبدون تعامل با کاربر دستگاه را آلوده کنند.این موارد توسط کارشناسان تیم Tencent’s Blade شناسایی شده و مجموعا به QualPwn معروف شده این آسیب پذیری ها در Firmware چیپ ست های Qualcom مربوط به WLAN و مودم وجود دارد که در میلیون ها گوشی همراه وتبلت های اندرویدی وجود دارند.

بنا به گفته کارشناسان دو مورد آسیب پذیری حاد در چیپ ست های Qualcom  ویک مورد دردرایور کرنل لینوکس Qualcom برای اندروید وجود دارد که اگر بصورت زنجیره ای با هم تلفیق شوند به هکر اجازه میدهند در محدوده WiFi کاربر بتواند کنترل کامل دستگاه را بدست بگیرد.

یکی از آسیب پذیری ها به هکر اجازه می دهد تا به WLAN و مودم دسترسی پیدا کند ودیگری کرنل اندروید را ازطریق چیپ WLANبه مخاطره می اندازد ویک زنجیره کامل exploit  در بعضی شرایط اجازه دسترسی به کرنل اندروید را  بصورت وایرلس میدهد.

آسیب پذیری های مورد بحث موارد زیر هستند:

CVE-2019-10539

این نقص یک مشکل سرریز بافر است که در firmwareمربوط به Qualcom WLAN وجود دارد .

CVE-2019-10540

مورد دوم هم یک نقص سرریز بافر است که در firmwareمربوط به Qualcom WLAN وجود دارد وعملکرد NAN را تحت تاثیر قرار می دهد

CVE-2019-10538

مورد سوم در دایور کرنل لینوکس Qualcom وجود دارد

به محض ورود ، کرنل به هکر دسترسی کامل سیستمی میدهد که می تواند به نصب rootkit ، استخراج اطلاعات مهم  وفعالیت های مخرب دیگر منجر شود.با اینکه کارشناسان تیم Tencent حمله های QualPwn خود را روی دستگاه های Google Pixel2 و Pixel3 انجام دادند که دارای چیپ های Snapdragon 835 و ۸۴۵ هستند آسیب پذیری ها چیپ ست های دیگر را هم تهدید میکنند.این نقص های امنیتی در ماه فوریه ومارس امسال شناسایی شدند وبه Qualcomگزارش شدند ودر ماه ژوئن پچ هایی در این رابطه منتشر شد وبه تولید کنندگان مثل Google و Samsung در این مورد اطلاع داده شد.

Google دیروز پچ های امنیتی را در رابطه با این آسیب پذیری ها در غالب بولتن امنیتی اندروید برای ماه آگوست ۲۰۱۹ منتشر کرد وتوصیه می شود به محض در دسترس قرار گرفتن  این پچ های امنیتی توسط کاربران دانلود شود.

ار آنجاییکه فرایند دریافت پچ های امنیتی توسط گوشی های اندرویدی بسیار کند انجام می شود تصمیم گرفته شده تا جزئیات فنی بیشتری در مورد این آسیب پذیری ها منتشر نشود و فعلا  POC exploit در درابطه با این موارد ارائه نشود تا کاربران زمان کافی برای دریافت بروزرسانی های امنیتی از سمت شرکت سازنده دستگاه خود داشته باشند.