Cách gỡ bỏ phần mềm độc hại xHelper trên Android

07:58 | 04/05/2020

Xuất hiện vào tháng 3/2019, phần mềm độc hại xHelper đã lây nhiễm trên hơn 45.000 thiết bị Android. Loại phần mềm độc hại này khiến các chuyên gia bảo mật phải đau đầu, vì nó dường như “bất tử” trước các phần mềm diệt virus và có thể tự cài đặt lại khi bị gỡ bỏ hay reset máy.

Cho tới nay, xHelper chưa gây ra ảnh hưởng nghiêm trọng tới người dùng, mà chỉ “khủng bố” bằng hàng loạt thông báo spam quảng cáo. Đa phần các nạn nhân đều ở Nga, Mỹ, Ấn Độ và Algeria. Chưa có bằng chứng xHelper từng được phân phối trên Google Play.

Mới đây, các chuyên gia Kaspersky đã giải mã được bí mật về cơ chế của xHelper và tìm ra cách loại bỏ nó.

Đầu tiên, phần mềm độc hại này giả dạng làm một phần mềm dọn dẹp và tối ưu tốc độ cho điện thoại. Sau khi cài đặt, chương trình sẽ tự động biến mất không để lại dấu vết trên màn hình hay danh mục phần mềm. Điều này khiến người dùng khó tìm ra nó để gỡ bỏ. Cách duy nhất để tìm thấy là kiểm tra danh sách các ứng dụng đã cài đặt trong phần cài đặt hệ thống.

Sau khi cài đặt, xHelper tự thiết lập một cửa hậu (backdoor) được điều khiển từ xa bởi các tin tặc. Sau đó, phần mềm sẽ kích hoạt một lệnh khai thác Android và chiếm đoạt quyền quản trị trong hệ điều hành. Backdoor được tạo ra có quyền truy cập vào các dữ liệu nhạy cảm, bao gồm cookie trình duyệt được sử dụng để đăng nhập tự động vào các website.

Theo Igor Golovin - chuyên gia phân tích phần mềm độc hại của Kaspersky, việc tái nhiễm xHelper sau khi gỡ bỏ phần mềm hoặc reset máy là do một loại mã độc trojan có tên Triada. Triada chiếm quyền quyền quản trị viên (superuser) và cài đặt một loạt các tệp độc hại trực tiếp vào phân vùng hệ thống.

Các tệp này được thiết lập ở chế độ chỉ đọc (read-only), ngụy trang giữa các tệp hệ thống được đăng ký thuộc tính bất biến, khiến chúng rất khó bị xóa vì hệ thống Android không cho phép gỡ bỏ các file dạng này. Tuy nhiên, cơ chế tự vệ này vẫn có thể bị xóa bởi lệnh chattr. Đây là loại lệnh dùng để khóa tệp về chế độ read-only nên có thể sử dụng chính nó để mở chế độ ghi (write) rồi xóa.

Thậm chí, xHelper xóa tất cả các ứng dụng liên quan đến root (ví dụ như superuser) và không cho phép người dùng gỡ bỏ ngay cả khi có quyền. Nó tự sửa đổi các thư viện Android để ngăn việc cài lại phân vùng trong chế độ ghi hệ thống.

Thông thường, người dùng sẽ không thể loại bỏ được hoàn toàn các tệp ẩn của xHelper trên hệ thống bằng thao tác gỡ bỏ. Chương trình com.diag.patches.vm8u được cài đặt trong phân vùng hệ thống sẽ giúp xHelper “hồi sinh” ngay khi có cơ hội. Nhưng nếu điện thoại có chế độ khôi phục (Recovery Mode), người dùng có thể thử trích xuất tệp libc.so từ chương trình cơ sở gốc (original firmware) và thay thế tệp bị nhiễm độc trước khi xóa tất cả các phần mềm độc hại khỏi phân vùng hệ thống.

Điều đáng chú ý là phần mềm độc hại này chủ yếu lây nhiễm với các phiên bản Android cũ như 6 và 7 hoặc trên một số dòng điện thoại "sao chép" của Trung Quốc. Một cách khác, để loại bỏ vĩnh viễn xHelper khỏi máy dễ dàng hơn, người dùng nên cài đặt lại, nâng cấp máy bằng một phiên bản hệ điều hành chính thức được tải từ nhà cung cấp hoặc flash ROM với một bản tương thích.