Malware Android xHelper menyimpan sebuah misteri yang mana dia menginstal ulang dirinya pada perangkat yang terinfeksi bahkan setelah pengguna menghapusnya, juga setelah perangkat direset ke pengaturan pabrik (factory reset). Hal tersebut tentu saja membuatnya hampir mustahil untuk dihapus.
xHelper dilaporkan berhasil menginfeksi lebih dari 45.000 perangkat pada tahun lalu, dan sejak saat itu, para peneliti keamanan telah mencoba mengungkap bagaimana malware bisa bertahan bahkan setelah perangkat direset ke pengaturan pabrik dan bagaimana hal itu bisa menginfeksi begitu banyak perangkat.
Dalam sebuah posting blog yang baru-baru ini diterbitkan, Igor Golovin, analis malware di Kaspersky, akhirnya memecahkan misteri tersebut dengan mengungkap detail teknis tentang mekanisme persistensi yang digunakan oleh malware Android xHelper, dan akhirnya juga menemukan cara untuk menghapus xHelper dari perangkat yang terinfeksi.
Sebagai vektor serangan awal dan untuk distribusinya, malware menyamar sebagai aplikasi pembersih dan optimasi kecepatan yang populer untuk smartphone – mempengaruhi sebagian besar pengguna di Rusia (80,56%), India (3,43%), dan Aljazair (2,43%).
Setelah terpasang dalam perangkat, aplikasi berbahaya mendaftarkan dirinya sebagai layanan foreground dan kemudian mengekstrak muatan terenkripsi yang mengumpulkan dan mengirim informasi identitas perangkat yang ditargetkan ke server web yang dikendalikan penyerang.
Pada langkah berikutnya, aplikasi berbahaya mengeksekusi payload lain yang diselundupkan, yang mana memicu serangkaian eksploitasi rooting Android dan operasi untuk mendapatkan akses administratif ke sistem operasi perangkat.
“Malware dapat memperoleh akses root, terutama pada perangkat yang menjalankan Android versi 6 dan 7 dari produsen Cina (termasuk ODM),” kata Golovin.
Malware secara diam-diam berada dalam perangkat dan menunggu perintah dari penyerang. Menurut analisis sebelumnya dari peneliti Symantec, ia menggunakan pinning sertifikat SSL untuk mencegah komunikasinya terputus.
“Malware memasang backdoor dengan kemampuan untuk mengeksekusi perintah sebagai superuser. Ini memberikan akses penuh kepada penyerang untuk mengakses semua data aplikasi dan juga dapat digunakan oleh malware lain, misalnya, CookieThief.”
Jika serangan berhasil, aplikasi berbahaya kemudian menyalahgunakan hak root untuk menginstal xHelper secara diam-diam dengan secara langsung menyalin file paket berbahaya ke partisi sistem (folder /system/bin) setelah memasangnya kembali dalam mode write.
“Semua file di folder target diberi atribut yang tidak dapat diubah, yang membuat sulit untuk menghapus malware karena sistem bahkan tidak memungkinkan superuser untuk menghapus file dengan atribut ini,” kata Golovin.
Baca juga: “Installer Zoom Palsu Digunakan Untuk Mendistribusikan Malware“
Yang lebih menarik adalah meskipun aplikasi keamanan yang sah atau korban bisa saja me-mounting kembali partisi sistem dengan cara yang sama untuk menghapus file malware secara permanen, xHelper juga memodifikasi perpustakaan sistem (libc.so) yang bermaksud untuk mencegah korban me-mounting kembali partisi sistem dalam mode write.
“Selain itu, malware juga mengunduh dan menginstal beberapa program berbahaya lainnya, dan menghapus aplikasi kontrol akses root, seperti Superuser,” kata Golovin.
Menurut Kaspersky, mengganti perpustakaan yang dimodifikasi dengan yang ada dari firmware asli untuk Android yang terinfeksi dapat mengaktifkan kembali partisi sistem dalam mode write untuk menghapus secara permanen xHelper.
Lalu, selain mengikuti prosedur untuk menghilangkan malware, pengguna yang terkena dampak disarankan untuk mem-flash ponsel yang terinfeksi dengan salinan firmware baru yang diunduh dari situs web resmi vendor atau dengan menginstal ROM yang berbeda tetapi kompatibel dengan Android pengguna.
