Cho tới nay, xHelper chưa gây ra ảnh hưởng nghiêm trọng tới người dùng, mà chỉ “khủng bố” bằng hàng loạt thông báo spam quảng cáo. Đa phần các nạn nhân đều ở Nga, Mỹ, Ấn Độ và Algeria. Chưa có bằng chứng xHelper từng được phân phối trên Google Play.
Mới đây, các chuyên gia Kaspersky đã giải mã được bí mật về cơ chế của xHelper và tìm ra cách loại bỏ nó.
Đầu tiên, phần mềm độc hại này giả dạng làm một phần mềm dọn dẹp và tối ưu tốc độ cho điện thoại. Sau khi cài đặt, chương trình sẽ tự động biến mất không để lại dấu vết trên màn hình hay danh mục phần mềm. Điều này khiến người dùng khó tìm ra nó để gỡ bỏ. Cách duy nhất để tìm thấy là kiểm tra danh sách các ứng dụng đã cài đặt trong phần cài đặt hệ thống.
Sau khi cài đặt, xHelper tự thiết lập một cửa hậu (backdoor) được điều khiển từ xa bởi các tin tặc. Sau đó, phần mềm sẽ kích hoạt một lệnh khai thác Android và chiếm đoạt quyền quản trị trong hệ điều hành. Backdoor được tạo ra có quyền truy cập vào các dữ liệu nhạy cảm, bao gồm cookie trình duyệt được sử dụng để đăng nhập tự động vào các website.
Theo Igor Golovin - chuyên gia phân tích phần mềm độc hại của Kaspersky, việc tái nhiễm xHelper sau khi gỡ bỏ phần mềm hoặc reset máy là do một loại mã độc trojan có tên Triada. Triada chiếm quyền quyền quản trị viên (superuser) và cài đặt một loạt các tệp độc hại trực tiếp vào phân vùng hệ thống.
Các tệp này được thiết lập ở chế độ chỉ đọc (read-only), ngụy trang giữa các tệp hệ thống được đăng ký thuộc tính bất biến, khiến chúng rất khó bị xóa vì hệ thống Android không cho phép gỡ bỏ các file dạng này. Tuy nhiên, cơ chế tự vệ này vẫn có thể bị xóa bởi lệnh chattr. Đây là loại lệnh dùng để khóa tệp về chế độ read-only nên có thể sử dụng chính nó để mở chế độ ghi (write) rồi xóa.
Thậm chí, xHelper xóa tất cả các ứng dụng liên quan đến root (ví dụ như superuser) và không cho phép người dùng gỡ bỏ ngay cả khi có quyền. Nó tự sửa đổi các thư viện Android để ngăn việc cài lại phân vùng trong chế độ ghi hệ thống.
Thông thường, người dùng sẽ không thể loại bỏ được hoàn toàn các tệp ẩn của xHelper trên hệ thống bằng thao tác gỡ bỏ. Chương trình com.diag.patches.vm8u được cài đặt trong phân vùng hệ thống sẽ giúp xHelper “hồi sinh” ngay khi có cơ hội. Nhưng nếu điện thoại có chế độ khôi phục (Recovery Mode), người dùng có thể thử trích xuất tệp libc.so từ chương trình cơ sở gốc (original firmware) và thay thế tệp bị nhiễm độc trước khi xóa tất cả các phần mềm độc hại khỏi phân vùng hệ thống.
Điều đáng chú ý là phần mềm độc hại này chủ yếu lây nhiễm với các phiên bản Android cũ như 6 và 7 hoặc trên một số dòng điện thoại "sao chép" của Trung Quốc. Một cách khác, để loại bỏ vĩnh viễn xHelper khỏi máy dễ dàng hơn, người dùng nên cài đặt lại, nâng cấp máy bằng một phiên bản hệ điều hành chính thức được tải từ nhà cung cấp hoặc flash ROM với một bản tương thích.
Tuệ Minh
20:00 | 04/02/2019
15:00 | 21/03/2018
15:00 | 21/05/2020
15:00 | 21/05/2020
13:00 | 17/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
10:00 | 02/01/2024
Trong hệ mật RSA, mô hình hệ mật, cấu trúc thuật toán của các nguyên thủy mật mã là công khai. Tuy nhiên, việc lựa chọn và sử dụng các tham số cho hệ mật này sao cho an toàn và hiệu quả là một vấn đề đã và đang được nhiều tổ chức quan tâm nghiên cứu. Trong bài viết này, nhóm tác giả đã tổng hợp một số khuyến nghị cho mức an toàn đối với độ dài khóa RSA được Lenstra, Verheul và ECRYPT đề xuất.
16:00 | 14/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
12:00 | 16/03/2023
Metaverse (vũ trụ ảo) là một mạng lưới rộng lớn gồm các thế giới ảo 3D đang được phát triển mà mọi người có thể tương tác bằng cách sử dụng thực tế ảo (VR), hay thực tế tăng cường (AR). Công nghệ này hứa hẹn mang lại sự trải nghiệm mới mẻ, thú vị cho người dùng cũng như mang đến những cơ hội kinh doanh cho các doanh nghiệp trong việc chuyển đổi cách thức hoạt động. Tuy nhiên, bên cạnh những lợi ích thì Metaverse cũng đặt ra những thách thức và nguy cơ về vấn đề bảo mật trong không gian kỹ thuật số này.
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Sự phổ biến của các giải pháp truyền tệp an toàn là minh chứng cho nhu cầu của các tổ chức trong việc bảo vệ dữ liệu của họ tránh bị truy cập trái phép. Các giải pháp truyền tệp an toàn cho phép các tổ chức bảo vệ tính toàn vẹn, bí mật và sẵn sàng cho dữ liệu khi truyền tệp, cả nội bộ và bên ngoài với khách hàng và đối tác. Các giải pháp truyền tệp an toàn cũng có thể được sử dụng cùng với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập (IDS), phần mềm chống virus và công nghệ mã hóa như mạng riêng ảo (VPN). Bài báo sẽ thông tin tới độc giả những xu hướng mới nổi về chia sẻ tệp an toàn năm 2024, từ các công nghệ, giải pháp nhằm nâng cao khả năng bảo vệ dữ liệu trước các mối đe dọa tiềm ẩn.
08:00 | 07/05/2024