نزدیک به ده ماه طول کشید تا محققان امنیتی موفق به کشف روشی برای پاکسازی دستگاههای هوشمند اندرویدی از این بدافزار#xHepler شدند؛ بدافزاری که تا به حال حذف آن غیرممکن بود.
دربارهی بدافزار
بدافزار xHelper نخستین بار در مارس 2019 زمانی که کاربران از برنامهای ناشناخته روی گوشی اندرویدی خود خبر دادند که حتی با برگشتن به تنظیمات کارخانه نیز حذف نمیشد، شناسایی شد. این برنامه مخرب روی گوشی تلفن همراه تبلیغات ناخواسته نمایش میدهد. منابعی که xHelper ممکن از آن بارگیری شده باشد بطور دقیق مشخص نیست اما طبق گفته محققان امنیتی منبع اصلی، «web redirect»هایی بودند که کاربران را به صفحات وب مخرب هدایت میکردند. این صفحات مخرب امکان دانلود برنامههای اندرویدی مخرب را فراهم میکردند. درنهایت این برنامههای مخرب اندرویدی تروجان xHelper را دانلود و نصب میکنند.
بدافزار xHelper با هر بار بازگشتن دستگاه اندرویدی به تنظیمات کارخانه حذف میشود اما بعد از چند ساعت بدون نیاز به تعامل با کاربر مجدداً به صورت خودکار نصب میشود. تنها راه برای پاکسازی دستگاه از این بدافزار flash کردن دستگاه و نصب مجدد سیستم عامل اندروید بر روی آن است که البته اعمال این روش برای همهی کاربران امکان پذیر نیست چراکه اکثرا به طور صحیح به firmware image سیستم عامل اندرویدی دسترسی ندارند.
روش پاکسازی
به گزارش Malwarebytes این بدافزار از فرآیندی در برنامک Google Play Store برای نصب مجدد خود استفاده میکند؛ همچنین به کمک دایرکتوریهای خاصی که در دستگاه اندرویدی میسازد فایل APK خود را روی دیسک ذخیره میکند تا امکان حذف آن از طریق بازگشت به تنظیمات کارخانه وجود نداشته باشد چرا که با بازگشت به تنظیمات کارخانه برنامههای دستگاه اندرویدی حذف میشود اما فایلها و دایرکتوریها باقی میمانند.
به گفتهی Nathan Collier محقق امنیتی در Malwarebytes، زمانی که برنامه Google Play Store عملیاتی شبیه به اسکن را شروع میکند، بدافزار، مجدداً و به صورت خودکار خود را نصب میکند.
با پنج قدم زیر میتوان از نصب مجدد این بدافزار جلوگیری کرد:
1. نصب برنامه مدیریت فایلی (file manager) که امکان جستجوی فایلهای و دایرکتوریها را دارد.
2. متوقف کردن موقت برنامهی Google Play Store برای جلوگیری از نصب مجدد xHelper
• مراجعه به قسمت تنظیمات -> برنامهها -> Google Play Store
• فشردن دکمه غیرفعال (Disable)
3. جستجوی عبارت com.mufc در برنامه مدیریت فایل
4. در صورت یافتن، فایلها را به ترتیب تاریخ مرتب کرده و هر گروهی از فایلها را که با com.mufc آغاز میشود و تاریخ یکسان دارند (به جز دایرکتوریهای اصلی core مانند Download) حذف کنید.
5. فعال کردن مجدد برنامه Google Play Store
- 14