روش پاکسازی گوشی‌ها از بدافزاری که حذفش غیرممکن بود

روش پاکسازی گوشی‌ها از بدافزاری که حذفش غیرممکن بود

با گذشت ۱۰ ماه از زمانی کهxHelper به دستگاه‌های اندرویدی راه‌یافته بود، محققان امنیتی موفق به کشف روشی برای پاکسازی دستگاه‌های هوشمند اندرویدی از این بدافزار شوند؛ بدافزاری که تا به حال حذف آن غیرممکن بود.

به گزارش ایسنا، این روزها اخبار متعددی درباره انتشار بدافزار و باج‌افزارهای مختلف در فضای مجازی، محیط اینترنت و گوشی‌های هوشمند که منجر به سرقت اطلاعات کاربران و نفوذ هکرها و سوءاستفاده از حریم‌خصوصی کاربران می‌شود، به گوش می‌رسد.

محققان و پژوهشگران فعال در حوزه امنیت سایبری نیز با تحت بررسی قرار دادن سخت‌افزار و نرم‌افزارهای گوناگون در تلاشند تا علاوه بر هشدار دادن و آگاهی رساندن به کاربران در فضای مجازی، به شرکت‌های توسعه‌دهنده مربوطه نیز اطلاع و هشدار دهند که هرچه سریع‌تر با اقدامات لازم همچون ارائه و انتشار نسخه‌های به‌روزرسانی امنیتی، آسیب‌پذیری و ضعف‌های امنیتی مذکور را برطرف کرده و از ادامه نفوذ هکرها و مجرمان سایبری به حریم شخصی کاربران جلوگیری به عمل بیاورند.

چندی پیش بود که برنامه‌ مخربی به نامxHelperکشف شد. اپلیکیشنxHelperروی گوشی تلفن همراه تبلیغات ناخواسته نمایش می‌دهد، خود را از دید کاربران پنهان می‌کند و همچنین قادر به دانلود برنامه‌های مخرب بیش‌تری است. این اپلیکیشن می‌تواند پس از حذف، مجدداً خود را نصب کرده و به گونه‌ای طراحی شده است که با ظاهر نشدن در منوی برنامه‌های گوشی، پنهان می‌ماند. اپلیکیشنxHelperتوانسته بود در مدت شش ماه، بیش از ۴۵ هزار دستگاه را آلوده کند.

اما بالاخره با گذشت ۱۰ ماه از زمانی کهxHelper به دستگاه‌های اندرویدی راه یافته بود، براساس گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) محققان امنیتی موفق به کشف روشی برای پاکسازی دستگاه‌های هوشمند اندرویدی از این بدافزار شدند؛ بدافزاری که تا به حال حذف آن غیرممکن بود.

بدافزارxHelperنخستین بار در مارس ۲۰۱۹ زمانی که کاربران از برنامه‌ای ناشناخته روی گوشی اندرویدی خود خبر دادند که حتی با برگشتن به تنظیمات کارخانه نیز حذف نمی‌شد، شناسایی شد. منابعی که xHelper ممکن از آن بارگیری شده باشد به‌طور دقیق مشخص نیست اما طبق گفته محققان امنیتی منبع اصلی،«web redirect»هایی بودند که کاربران را به صفحات وب مخرب هدایت می‌کردند. این صفحات مخرب امکان دانلود برنامه‌های اندرویدی مخرب را فراهم می‌کردند. در نهایت این برنامه‌های مخرب اندرویدی تروجانxHelper را دانلود و نصب می‌کنند.

بدافزارxHelperبا هر بار بازگشتن دستگاه اندرویدی به تنظیمات کارخانه حذف می‌شود اما بعد از چند ساعت بدون نیاز به تعامل با کاربر مجدداً به‌صورت خودکار نصب می‌شود. تنها راه برای پاکسازی دستگاه از این بدافزار، فلش (flash) کردن دستگاه و نصب مجدد سیستم عامل اندروید روی آن است که البته اعمال این روش برای همه‌ی کاربران امکان‌پذیر نیست چراکه اکثرا به طور صحیح به firmware image سیستم‌عامل اندرویدی دسترسی ندارند.

روش پاکسازی گوشی‌ها ازxHelper

این بدافزار از فرآیندی در برنامک گوگل پلی‌استور برای نصب مجدد خود استفاده می‌کند؛ همچنین به کمک دایرکتوری‌های خاصی که در دستگاه اندرویدی می‌سازد فایل APK خود را روی دیسک ذخیره می‌کند تا امکان حذف آن از طریق بازگشت به تنظیمات کارخانه وجود نداشته باشد، زیرابا بازگشت به تنظیمات کارخانه برنامه‌های دستگاه اندرویدی حذف می‌شود اما فایل‌ها و دایرکتوری‌ها باقی می‌مانند.

به گفته نیتان کولیر، محقق امنیتی مالوربایتز، زمانی که برنامه گوگل پلی‌استور عملیاتی شبیه به اسکن را شروع می‌کند، بدافزار، مجدداً و به صورت خودکار خود را نصب می‌کند. با وجود این، روشی پیدا شده که می‌توان از طریق آن، از نصب مجدد این بدافزار جلوگیری کرد.

برای این کار باید برنامه مدیریت فایلی (file manager) که امکان جستجوی فایل‌های و دایرکتوری‌ها را دارد را نصب کنید، سپس به‌طور موقت برنامه گوگل پلی‌استور را برای جلوگیری از نصب مجددxHelper متوقف کنید. به قسمت برنامه‌ها در تنظیمات رفته و در بخش گوگل پلی‌استور، دکمه غیرفعال را بزنید. عبارتcom.mufc را در فایل منیجر جست‌وجو کنید و در صورت یافتن، فایل‌ها را به ترتیب تاریخ مرتب کرده و هر گروهی از فایل‌ها را که باcom.mufc آغاز می‌شود و تاریخ یکسان دارند (به جز دایرکتوری‌های اصلی core مانند Download ) حذف کنید. سپس مجدداً گوگل پلی‌استور  را فعال کنید.