Güvenlik uzmanları, Android kullanıcılarını, ‘kaldırılması neredeyse imkansız olan kötü amaçlı bir yazılım türü hakkında uyarıyor.
Kaspersky’den araştırmacı Igor Golovin , xHelper kötü amaçlı yazılımının, Rus bir matryoshka bebeğinden farklı olarak, inanılmaz derecede inatçı olmasını sağlayan bir iç içe program sistemini nasıl kullandığını açıklayan bir blog yazısı yazmış.
XHelper virüsü ilk olarak geçen yıl keşfedildi, ancak Golovin bu android virüsünün cihazı nasıl derinden ele geçirdiğini ve fabrika ayarlarına geri döndürüp sistem geri yüklemesi yapmadan sonra bile yeniden ortaya çıkmaktaymış.
Elbette Google Play Store kusursuz değil. Hatta bu konuda daha önce Play store’den kaldırılan 60 uygulama adında bir yazı yazmıştık. Yine de, resmi olmayan üçüncü taraf uygulama mağazalarının kötü amaçlı uygulamaları barındırması çok ama çok daha olası. Uygulama görüntüleme hizmeti Google Play Protect geçen yıl 1.9 milyondan fazla kötü amaçlı yazılım yüklü uygulama yüklemesini engelledi; bunlardan birçoğu da harici yüklemeler veya remi olmayan kaynaklardan kuruldu, ancak yine de sistem kusursuz değil maalesef.
Derinlere inip, çıkmayan bir trojan xHelper nedir?
xHelper android malware, telefon performansını artırmak için herhangi bir popüler temizlik ve bakım uygulaması olarak kendini gösteren, Google play store harici mağazalar aracılığıyla dağıtılmakta ve bir kez telefona yükledikten sonra inanılmaz derecede inatçı olduğu bilinmekte.
XHelper Kötü amaçlı yazılım ilk yüklendiğinde, cihazdan bilgi topluyor ve başka bir truva atı yükleyen bir ‘dropper’ trojanı arka planda indiriyor. Bu da, daha sonra, cihaza root erişimi sağlayan exploit kodu indiriyor ve bu noktadan sonra artık kaderiniz virüsü oluşturan ve yöneten kişinin insafına kalmış oluyor.
Virüs bir kere bulaştığı zaman artık yokedilmesi son derece zor. Tüm bu indirmeler sistem dosyalarının derinliklerinde gizlenmekte, bu da bulunmalarını zorlaştırıyor ve sistem bölümünde yüklü olan bu ‘dropper’, fabrika ayarlarına sıfırlandıktan sonra bile işlemi yeniden başlatabilmekte.
xHelper virüsü telefondan nasıl temizlenir?
Golovin telefona baştan stock ROM flashlanmesını önermekte. Ancak bazen dıştan indirilen stock Rom’lar dahi içinde xHelper içerebileceği konusunda da uyarıyor. Zaten bu durumda yapılabilecek çok az şey var maalesef.
“Her durumda, xHelper bulaşmış bir akıllı telefon kullanmak son derece tehlikeli. Kötü amaçlı yazılım, komutları bir superuser seviyesinde yürütme özelliğine sahip bir back-door uygulaması yüklemekte. Saldırganlar için tüm uygulama verilerine tam erişim sağlamakta ve CookieThief gibi diğer kötü amaçlı yazılımlar tarafından da kullanılabilmekte.
Bilmeyenler için belirteyim, Stock ROM- fabrikada telefona yüklenen orjinal Android sistemi ve flashlamak da bu ROM’u indirip kabloyla telefona dıştan aktarmak oluyor. Superuser ise, telefon rootlanıp kök dizin erişimlerine ulaşılınca sahip olunan yetkilere deniyor, yani süper-kullanıcı olunmuş oluyor. Böyle bir yetkiye sahip olan birisi, telefonda gizli şekilde kamerayı açıp kayıt yapabilmesinden tut, banka şifrelerini ele geçirmesine, her türlü iletişim bilgilerine sahip olmasına ya da kısaca telefonu kendi telefonuymuş gibi kullanabilmesini sağlıyor.
Yani bu virüsten kurtulmanın en iyi yolu aslında onu hiç bulaştırmamak. Sadece bu değil, diğer bir çok virüsten korunmak için, mutlaka uygulamalarınızı Google Play Store’den indirmeniz, aptoid tarzı diğer platformlardan ya da Android oyun sitelerinden indirmemeniz çok önemli. Hiç kimse bir oyunu ya da programı saatlerce uğraşıp full ya da unlimited hale getirip bunu bedavaya size sunmaz. Altında mutlaka bir çıkar vardır. Bu bazen sadece reklam gelirleri, bazen içine yerleştirdiği gizli kodlarla kendi sitesine backlink olabiliyorken, bazen bu tarz, kullanıcı için çok tehlikeli olacak nedenlerle de olabiliyor.
Görsel:securityintelligence