Revelado como o “malware imortal” do Android sobrevivia ao reset de fábrica
Por Rubens Eishima | 09 de Abril de 2020 às 10h00
Descoberto no ano passado, o xHelper ganhou a fama de “malware imortal” por sua característica de sobreviver a um reset de fábrica. Agora, um pesquisador da Kaspersky revelou como o vírus conseguia voltar após a redefinição do Android.
O especialista Igor Golovin publicou no blog da empresa russa como o xHelper usa uma série de arquivos maliciosos em sequência, o que lhe rendeu o apelido de cavalo de troia matriosca, em referência às tradicionais bonecas russas que vêm uma dentro da outra.
A distribuição do vírus é feita por um falso utilitário para limpar ou melhorar o desempenho do Android. O app simplesmente some dos atalhos de aplicativos e só pode ser encontrado na lista de programas nas configurações do celular.
- Cinco milhões de smartphones Android vieram com malware pré-instalado
- Google revela que iPhones vinham sendo infectados por malwares há anos
O app sorrateiro é criptografado, envia dados do aparelho para um servidor e depois baixa outro cavalo de troia, que por sua vez baixa um terceiro, que instala outro malware, o Trojan-Downloader.AndroidOS.Leech.p, que baixa o HEUR:Trojan.AndroidOS.Triada.dd. Este último se instala com privilégios root no aparelho, o que permite ao xHelper se instalar na partição de sistema do celular.
A investigação encontrou pelo menos 11 malwares envolvidos no processo. Além da instalação se infiltrar em áreas de difícil remoção, o xHelper procura remover aplicativos que concedem ao usuário os mesmos privilégios root, como o Superuser.
Remoção para poucos
O processo para apagar o xHelper do celular não é simples e pode inutilizar o aparelho em caso de erro. Consiste na edição de um arquivo do firmware original (limpo) do aparelho e a sua substituição na unidade infectada.
Golovin recomenda, no entanto, que o usuário tente usar uma ferramenta oficial de redefinição do celular, conhecida como reflasher, e reinstale o sistema por meio dela. Uma última alternativa seria a instalação de ROMs alternativas, como o LineageOS, mas com os riscos de perder acesso a algumas funções originais de aparelho.
Para maiores detalhes sobre a investigação por trás do xHelper e quais arquivos editar para removê-lo, consulte o relatório publicado no blog da Kaspersky (em inglês).