روش پاکسازی گوشی‌ها از بدافزاری که حذفش غیرممکن بود

با گذشت ۱۰ ماه از زمانی که xHelper به دستگاه‌های اندرویدی راه یافته بود، محققان امنیتی موفق به کشف روشی برای پاکسازی دستگاه‌های هوشمند اندرویدی از این بدافزار شوند؛ بدافزاری که تا به حال حذف آن غیرممکن بود.

به گزارش ایسنا، این روزها اخبار متعددی درباره انتشار بدافزار و باج افزارهای مختلف در فضای مجازی، محیط اینترنت و گوشی‌های هوشمند که منجر به سرقت اطلاعات کاربران و نفوذ هکرها و سوءاستفاده از حریم خصوصی کاربران می‌شود، به گوش می‌رسد.

محققان و پژوهشگران فعال در حوزه امنیت سایبری نیز با تحت بررسی قرار دادن سخت‌افزار و نرم‌افزارهای گوناگون در تلاشند تا علاوه بر هشدار دادن و آگاهی رساندن به کاربران در فضای مجازی، به شرکت‌های توسعه‌دهنده مربوطه نیز اطلاع و هشدار دهند که هرچه سریع‌تر با اقدامات لازم همچون ارائه و انتشار نسخه‌های به‌روزرسانی امنیتی، آسیب‌پذیری و ضعف‌های امنیتی مذکور را برطرف کرده و از ادامه نفوذ هکرها و مجرمان سایبری به حریم شخصی کاربران جلوگیری به عمل بیاورند.

چندی پیش بود که برنامه‌ مخربی به نام xHelper کشف شد. اپلیکیشن xHelper روی گوشی تلفن همراه تبلیغات ناخواسته نمایش می‌دهد، خود را از دید کاربران پنهان می‌کند و همچنین قادر به دانلود برنامه‌های مخرب بیش‌تری است. این اپلیکیشن می‌تواند پس از حذف، مجدداً خود را نصب کرده و به گونه‌ای طراحی شده است که با ظاهر نشدن در منوی برنامه‌های گوشی، پنهان می‌ماند. اپلیکیشن xHelper توانسته بود در مدت شش ماه، بیش از ۴۵ هزار دستگاه را آلوده کند.

اما بالاخره با گذشت ۱۰ ماه از زمانی که xHelper به دستگاه‌های اندرویدی راه یافته بود، بر اساس گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) محققان امنیتی موفق به کشف روشی برای پاکسازی دستگاه‌های هوشمند اندرویدی از این بدافزار شدند؛ بدافزاری که تا به حال حذف آن غیرممکن بود.

بدافزار xHelper نخستین بار در مارس ۲۰۱۹ زمانی که کاربران از برنامه‌ای ناشناخته روی گوشی اندرویدی خود خبر دادند که حتی با برگشتن به تنظیمات کارخانه نیز حذف نمی‌شد، شناسایی شد. منابعی که xHelper ممکن از آن بارگیری شده باشد بطور دقیق مشخص نیست اما طبق گفته محققان امنیتی منبع اصلی، web redirect»هایی بودند که کاربران را به صفحات وب مخرب هدایت می‌کردند. این صفحات مخرب امکان دانلود برنامه‌های اندرویدی مخرب را فراهم می‌کردند. درنهایت این برنامه‌های مخرب اندرویدی تروجان xHelper را دانلود و نصب می‌کنند.

بدافزار xHelper با هر بار بازگشتن دستگاه اندرویدی به تنظیمات کارخانه حذف می‌شود اما بعد از چند ساعت بدون نیاز به تعامل با کاربر مجدداً به‌صورت خودکار نصب می‌شود. تنها راه برای پاکسازی دستگاه از این بدافزار، فلش (flash) کردن دستگاه و نصب مجدد سیستم عامل اندروید روی آن است که البته اعمال این روش برای همه‌ی کاربران امکان‌پذیر نیست چراکه اکثرا به طور صحیح به firmware image سیستم عامل اندرویدی دسترسی ندارند.

روش پاکسازی گوشی‌ها از xHelper

این بدافزار از فرآیندی در برنامک گوگل پلی‌استور برای نصب مجدد خود استفاده می‌کند؛ همچنین به کمک دایرکتوری‌های خاصی که در دستگاه اندرویدی می‌سازد فایل APK خود را روی دیسک ذخیره می‌کند تا امکان حذف آن از طریق بازگشت به تنظیمات کارخانه وجود نداشته باشد، زیرا با بازگشت به تنظیمات کارخانه برنامه‌های دستگاه اندرویدی حذف می‌شود اما فایل‌ها و دایرکتوری‌ها باقی می‌مانند.

به گفته نیتان کولیر، محقق امنیتی مالوربایتز، زمانی که برنامه گوگل پلی‌استور عملیاتی شبیه به اسکن را شروع می‌کند، بدافزار، مجدداً و به صورت خودکار خود را نصب می‌کند. با وجود این، روشی پیدا شده که می‌توان از طریق آن، از نصب مجدد این بدافزار جلوگیری کرد.

برای این کار باید برنامه مدیریت فایلی (file manager) که امکان جستجوی فایل‌های و دایرکتوری‌ها را دارد را نصب کنید، سپس به‌طور موقت برنامه گوگل پلی‌استور را برای جلوگیری از نصب مجدد xHelper متوقف کنید. به قسمت برنامه‌ها در تنظیمات رفته و در بخش گوگل پلی‌استور، دکمه غیرفعال را بزنید. عبارت com.mufc را در فایل منیجر جست‌وجو کنید و در صورت یافتن، فایل‌ها را به ترتیب تاریخ مرتب کرده و هر گروهی از فایل‌ها را که با com.mufc آغاز می‌شود و تاریخ یکسان دارند (به جز دایرکتوری‌های اصلی core مانند Download) حذف کنید. سپس مجداد گوگل پلی‌استور  را فعال کنید.