Au cours des six derniers mois, une nouvelle souche de logiciels malveillants Android s’est imposée après avoir fait son apparition sur le radar de plusieurs éditeurs de logiciels antivirus et a perturbé les utilisateurs grâce à un mécanisme d’autoréinstallation qui l’a rendu presque impossible à supprimer.Baptisé xHelper, ce logiciel malveillant a été détecté pour la première fois en mars, mais il a été étendu lentement pour infecter plus de 32 000 appareils en août (par Malwarebytes), pour finalement atteindre un total de 45 000 infections ce mois-ci (par Symantec).
Xhelper en action
Xhelper ne fournit pas une interface utilisateur régulière. Le malware est un composant d’application, ce qui signifie qu’il ne sera pas répertorié dans le lanceur d’applications de l’appareil. Cela facilite la tâche du logiciel malveillant dans la dissimulation de ses activités malveillantes.
Code utilisé pour supprimer une application du lanceur d'applications (en haut) et la liste des applications dans le lanceur (en bas)
Xhelper ne peut pas être lancé manuellement, car aucune icône d'application n'est visible sur le lanceur. Au lieu de cela, l'application malveillante est lancée par des événements externes, tels que le moment où le périphérique compromis est connecté ou déconnecté d'un bloc d'alimentation, le périphérique est redémarré ou une application est installée ou désinstallée.
Code de manifeste de Xhelper indiquant les événements qui déclencheront le malware
Une fois lancé, le logiciel malveillant s’enregistrera comme un service de premier plan, ce qui réduira ses chances d’être supprimé lorsque la mémoire est faible. Pour la persistance, le logiciel malveillant redémarre son service s'il est arrêté; une tactique commune utilisée par les logiciels malveillants mobiles.
Une fois que Xhelper est sur le périphérique de la victime, il commence à exécuter ses principales fonctionnalités malveillantes en déchiffrant en mémoire le contenu malveillant intégré à son package. La charge malveillante se connecte ensuite au serveur de commande et de contrôle de l'attaquant et attend les commandes. Pour empêcher cette communication d’être interceptée, l’identification de certificat SSL est utilisée pour toutes les communications entre l’appareil de la victime et le serveur C&C.
Une fois la connexion établie avec le serveur C&C, des charges utiles supplémentaires telles que des rootkits peuvent être téléchargées sur le périphérique compromis. Symantec pense que le pool de logiciels malveillants stockés sur le serveur C&C est vaste et doté de fonctionnalités variées, offrant à l'attaquant de nombreuses options, notamment le vol de données ou même la prise en charge complète du périphérique.
Un code en évolution
Symantec indique que :
« Nous avons commencé à voir les applications Xhelper en mars 2019. À cette époque, le code du malware était relativement simple et sa fonction principale consistait à consulter des pages de publicité à des fins de monétisation. Le code a changé au fil du temps. Initialement, la capacité du logiciel malveillant à se connecter à un serveur C&C était inscrite directement dans le logiciel malveillant, mais cette fonctionnalité a ensuite été déplacée vers une charge chiffrée, dans le but d’éviter la détection de signatures. Certaines variantes plus anciennes incluaient des classes vides non implémentées à l’époque, mais la fonctionnalité est maintenant complètement activée. Comme décrit précédemment, les fonctionnalités de Xhelper se sont considérablement développées ces derniers temps.
« Nous sommes fermement convaincus que le code source du malware est en cours d’élaboration. Par exemple, nous avons repéré de nombreuses classes et variables constantes appelées "Jio". Ces classes ne sont pas implémentées pour le moment, mais nous pensons que les attaquants envisagent de cibler les utilisateurs de Jio à une date ultérieure (Reliance Jio Infocomm Limited, également appelé Jio, est le plus grand réseau 4G en Inde, avec plus de 300 millions d'abonnés) ».
Les classes et les packages dans le code source Xhelper qui mentionnent Jio
Installé via des applications tierces
Selon Malwarebytes, ces infections proviennent de « redirections Web » qui dirigent les utilisateurs vers des...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.