Um novo conta-gotas de Trojan apelidado de xHelper foi observado enquanto lentamente, mas constantemente se espalhando para mais e mais dispositivos Android desde maio, com mais de 32.000 smartphones e tablets tendo sido encontrados infectados nos últimos quatro meses.
Os dispositivos de combate a cavalos de troia são ferramentas usadas por agentes de ameaças para oferecer outros tipos de malware mais perigosos a dispositivos já comprometidos, incluindo, entre outros, Trojans clicker, cavalos de Troia bancários e ransomware.
O xHelper, apelidado de Android / Trojan.Dropper.xHelper pelos pesquisadores do Malwarebytes Labs que o descobriram, foi inicialmente identificado como um conta-gotas de Trojan genérico apenas para ser atualizado para a classificação de uma ameaça completa após entrar no top 10 mais detectado do fornecedor de segurança. malware móvel em apenas alguns meses.
Pacotes DEX criptografados e ofuscados em vez de APKs
Além do grande número de dispositivos em que foi encontrado, o xHelper também vem com uma série de outras peculiaridades, incluindo o fato de que ele se espalha usando arquivos DEX (Dalvik Executable) camuflados como arquivos JAR, contendo código de aplicativo Android compilado.
Esse método de infectar novos dispositivos Android é bastante singular, já que a maioria dos usuários de dispositivos móveis usa um APK (pacote Android) junto com um aplicativo infectado, APKs que são posteriormente descartados na pasta "Ativos" e instalados e executados no smartphone ou tablet comprometido .
Os arquivos DEX criptografados usados pelo xHelper como parte de seu processo de infecção são primeiro descriptografados e depois compilados usando a ferramenta de compilador dex2oat em um binário ELF (Executable and Linkable Format) que é executado nativamente pelo processador do dispositivo.
Ao usar essa técnica complicada, os autores do xHelper diminuem drasticamente a chance de ter seu conta-gotas detectado e também ocultam suas verdadeiras intenções e objetivo final.
Para analisar o arquivo DEX criptografado, os pesquisadores permitem que ele infecte um dispositivo Android para exportar a versão descriptografada de seu armazenamento. No entanto, essa versão foi ofuscada e apresentava variações no código-fonte para todas as amostras descobertas, "dificultando a identificação exata de qual é o objetivo do malware móvel".
"No entanto, acredito que sua principal função é permitir que comandos remotos sejam enviados para o dispositivo móvel, alinhando-o ao seu comportamento de se esconder em segundo plano como um backdoor", diz Nathan Collier, analista sênior de Malware Intelligence da Malwarebytes Labs.
"Independentemente de suas verdadeiras intenções, a tentativa inteligente de ofuscar seu comportamento de dropper é suficiente para classificar isso como uma ameaça desagradável."
Furtivo, mas não realmente
Depois de analisar todas as amostras, os pesquisadores também descobriram que o xHelper vem em duas variantes distintas, uma que passa por suas tarefas maliciosas em modo furtivo e outra projetada para funcionar de maneira semi-furtiva através dos dispositivos Android comprometidos, enquanto também mostra algumas dicas de sua presença.
A variante furtiva evita a criação de ícones no dispositivo infectado e não exibe nenhum tipo de alerta que revele sua presença, sendo o único sinal que indica a existência de uma listagem de xhelper na seção de informações do aplicativo.
A variante com apenas metade de suas capacidades ninjas ativadas é muito mais ousada, criando um ícone xhelper no menu de notificações e, gradualmente , enviando mais alertas para a área de notificações.
Depois de tocar em uma dessas notificações, as vítimas são redirecionadas para sites com jogos de navegador que, embora inofensivos, estão mais do que propensos a permitir que os operadores de malware coletem sua parcela de pagamento pelos lucros gerados por cada visita.
Vetor de infecção ainda desconhecido
Dada a sua capacidade demonstrada de infectar rapidamente novos dispositivos, o xHelper é definitivamente uma ameaça a ser levada em consideração. O Malwarebytes Labs encontrou-o em quase 33.000 dispositivos móveis ao longo de apenas quatro meses, cobrindo apenas os dispositivos Android nos quais o Malwarebytes para Android foi instalado.
Como dizem os pesquisadores, o número de smartphones e tablets comprometidos está aumentando a cada dia, com centenas de novos alvos sendo infectados diariamente.
Embora o vetor de infecção preciso ainda não tenha sido descoberto, "a análise mostra que o xHelper está sendo hospedado em endereços IP nos Estados Unidos. Um foi encontrado em Nova York, Nova York; e outro em Dallas, Texas".
"Portanto, é seguro dizer que este é um ataque direcionado aos Estados Unidos", acrescentam os pesquisadores, concluindo que "essa infecção móvel está sendo disseminada por redirecionamentos da Web, talvez pelos sites de jogos mencionados acima, que também estão hospedados nos EUA". ou outros sites obscuros. "
Como um método para evitar a infecção, o Malwarebytes Labs recomenda ter cuidado ao navegar na Web no seu dispositivo Android, selecionando cuidadosamente os sites móveis que você visita.
Não o primeiro, não o último
Este não é o primeiro malware segmentado para usuários do Android descoberto em agosto, com outro Trojan Dropper sendo descoberto pela Kaspersky hoje, sob a forma de um módulo malicioso escondido no aplicativo Android CamScanner, baixado mais de 100 milhões de vezes da Play Store do Google.
Pesquisadores da Doctor Web descobriram anteriormente um Trojan clicker dentro de 33 aplicativos e distribuídos pela loja oficial do Google, também baixada mais de 100 milhões de vezes por usuários desavisados.
Ainda na semana passada, outro aplicativo para Android, incluindo os recursos de spyware do AhMyth Android RAT de código aberto, foi capaz de contornar a proteção automatizada de malware do Google Play Store duas vezes em apenas duas semanas, conforme descobriram os pesquisadores da ESET.
