Não é incomum que os usuários de smartphones Android sejam alvo de malware, o que não surpreende, já que existem mais de 2,5 bilhões de dispositivos Android ativos por aí. Os cibercriminosos sempre seguirão o dinheiro, e mais usuários significam mais oportunidades de infectar.
O que é um malware irremovível para Android?
Segundo os pesquisadores de segurança, o Trojan Xhelper Android não é apenas furtivo, mas também prolífico. Um relatório afirmou que a empresa de segurança “observou um aumento nas detecções“, do malware que pode ocultar aos usuários e baixar aplicativos maliciosos adicionais. O aspecto mais preocupante do Xhelper, no entanto, é que ele é persistente. “Ele é capaz de se reinstalar depois que os usuários o desinstalam“, disseram os pesquisadores, acrescentando que o malware continua reaparecendo mesmo depois que os usuários o desinstalam manualmente. Além do mais, de acordo com o relatório da pesquisa, mesmo uma redefinição de fábrica completa não pode impedir o Xhelper de reaparecer.
O Xhelper não fornece uma interface de usuário comum. O malware é um componente de aplicativo, o que significa que não será listado no iniciador de aplicativos do dispositivo. Isso facilita para o malware executar suas atividades maliciosas disfarçadas.
O que o malware Xhelper Android faz?
O próprio Xhelper está oculto no iniciador de dispositivos Android, pois é um componente do aplicativo, tornando mais fácil passar despercebido. É iniciado por eventos externos, incluindo a conexão do dispositivo a uma fonte de alimentação e a instalação de um aplicativo.
“Uma vez lançado, o malware se registrará como um serviço em primeiro plano“, disse o pesquisador, “diminuindo as chances de ser morto quando a memória estiver baixa“. De fato, parece que ele também reinicia o serviço automaticamente, caso seja interrompido, para aumentar a sua natureza persistente.
A carga maliciosa liberada pelo Xhelper se conectará a um servidor de comando e controle para aguardar novos pedidos. Essa comunicação também está oculta do usuário e de seu software de segurança usando a fixação de certificados SSL para impedir a interceptação. Esses “pedidos adicionais” incluem o fornecimento de cargas úteis adicionais, como conta-gotas de malware e rootkits, para permitir a aquisição completa do dispositivo infectado.
Como o Xhelper pode sobreviver a uma redefinição de fábrica?
O maior quebra-cabeça da perspectiva da segurança é como qualquer malware pode sobreviver a uma redefinição de fábrica. Afinal, a menos que fizesse parte do firmware do smartphone, uma redefinição de fábrica o limparia por completo do dispositivo.
O relatório parece remover essa possibilidade: “Acreditamos que é improvável que o Xhelper seja pré-instalado em dispositivos, pois esses aplicativos não têm indicação de serem aplicativos do sistema“. A explicação mais provável dada no relatório é que outro aplicativo separado faz o download persistente do malware.
O pesquisadores May Ying Tee, engenheiro de software da Symantec e um dos autores do relatório, disse a Forbes que “o malware não sobrevive tecnicamente à redefinição de fábrica“. Em vez disso, diz Ying Tee, “acreditamos que ele pode ter sido excluído e posteriormente reinstalado por outro malware, dando assim a percepção de sobreviver à redefinição de fábrica“.
Como você pode impedir que seu dispositivo Android seja infectado?
Como John Opdenakker, um hacker ético, diz: “são as más práticas de segurança que colocam o usuário novamente em problemas“. Se eles estão reinstalando os mesmos aplicativos que antes da redefinição de fábrica, incluindo os de outras fontes que não a Google Play Store oficial, podemos suspeitar que ele esteja certo.
“Isso destaca o risco de instalar aplicativos fora das lojas oficiais de aplicativos“, diz Sean Wright, especialista em segurança de aplicativos, “minha recomendação é instalar aplicativos apenas através das lojas oficiais, a menos que você saiba com certeza a validade do aplicativo em questão“.
Segundo o mesmo, nenhuma das amostras analisadas estava disponível na Google Play Store e, embora seja possível que o malware Xhelper seja baixado por usuários de fontes desconhecidas, a Symantec acredita que esse pode não ser o único canal de distribuição.
Os especialistas recomendam os usuários a tomar as seguintes precauções:
- Mantenha seu software atualizado.
- Não faça o download de aplicativos de sites desconhecidos.
- Instale apenas aplicativos de fontes confiáveis.
- Preste muita atenção às permissões solicitadas pelos aplicativos.
- Instale um aplicativo de segurança móvel adequado para proteger seu dispositivo e dados.
- Faça backups frequentes de dados importantes.
Fonte: Forbes