Xuất hiện vào tháng 3/2019, xHelper đã lây nhiễm trên hơn 45.000 thiết bị Android. Loại malware này khiến các chuyên gia bảo mật phải đau đầu vì nó dường như “bất tử” trước các phần mềm diệt virus, có thể tự cài đặt lại khi bị gỡ bỏ hay reset (khôi phục cài đặt gốc) máy.

Cho tới nay, xHelper chưa gây ra ảnh hưởng nghiêm trọng tới người dùng như đánh cắp thông tin, mà chỉ “khủng bố” bằng hàng loạt thông báo spam quảng cáo. Đa phần các nạn nhân ở Nga, Mỹ, Ấn Độ và Algeria. Chưa có bằng chứng xHelper từng được cung cấp trên Google Play.

Mới đây các chuyên gia Kaspersky Lab đã giải mã được bí mật về cơ chế của chương trình và tìm ra cách loại bỏ nó.

Đầu tiên, malware này giả dạng làm một phần mềm dọn dẹp và tôi ưu tốc độ smartphone. Nhưng sau khi cài đặt, chương trình tự động biến mất không để lại dấu vết trên màn hình hay danh mục phần mềm. Điều này khiến người dùng khó tìm ra nó để gỡ bỏ. Cách duy nhất để tìm thấy là kiểm tra danh sách các ứng dụng đã cài đặt trong phần cài đặt hệ thống.

Sau khi cài đặt, xHelper tự thiết lập một backdoor (cửa sau) được điều khiển từ xa bởi các tin tặc. Sau đó, chương trình kích hoạt một lệnh khai thác Android và đoạt quyền quản trị trong hệ điều hành. Backdoor được tạo ra có quyền truy cập vào các dữ liệu nhạy cảm, bao gồm cookie trình duyệt được sử dụng để đăng nhập tự động vào các website.

Theo Igor Golovin, một chuyên gia phân tích phần mềm độc hại của Kaspersky, việc tái nhiễm xHelper sau khi gỡ bỏ phần mềm hoặc reset máy là do một loại mã độc trojan có tên Triada. Triada chiếm quyền superuser (hay còn gọi là quyền Adminstrator của Windows) và cài đặt một loạt các tệp độc hại trực tiếp vào phân vùng hệ thống.

Các tệp này được thiết lập ở chế độ chỉ đọc (read-only), ngụy trang giữa các tệp hệ thống được đăng ký thuộc tính bất biến, khiến chúng rất khó bị xóa vì hệ thống Android không cho phép gỡ bỏ các file dạng này. Tuy nhiên, cơ chế tự vệ này vẫn có thể bị xóa bởi lệnh chattr. Đây là loại lệnh dùng để khóa tệp về chế độ read-only nên có thể sử dụng chính nó để mở chế độ write (ghi) rồi xóa.

Thậm chí xHelper xóa tất cả các ứng dụng liên quan đến root (ví dụ như Superuser) và không cho phép người dùng gỡ bỏ ngay cả khi có quyền. Chưa hết, nó tự sửa đổi các thư viện Android để ngăn việc cài lại phân vùng trong chế độ Ghi hệ thống.

Vậy làm thế nào để loại bỏ xHelper?

Như đã nói ở trên, thao tác gỡ bỏ thông thường sẽ không thể loại bỏ được hoàn toàn các tệp ẩn của xHelper trên hệ thống. Chương trình com.diag.patches.vm8u được cài đặt trong phân vùng hệ thống sẽ giúp xHelper “hồi sinh” ngay khi có cơ hội.

Nhưng nếu điện thoại có Recovery Mode (Chế độ Khôi phục), người dùng có thể thử trích xuất tệp libc.so từ chương trình cơ sở gốc (original firmware) và thay thế tệp bị nhiễm độc bằng nó trước khi xóa tất cả các phần mềm độc hại khỏi phân vùng hệ thống.

Điều đáng chú ý là phần mềm độc hại này chủ yếu lây nhiễm với các phiên bản Android cũ như 6 và 7, trên một số loại “smartphone fake” của Trung Quốc. Một cách khác để loại bỏ vĩnh viễn xHelper khỏi máy dễ dàng hơn là cài đặt lại, nâng cấp máy bằng một phiên bản hệ điều hành chuẩn tải từ nhà cung cấp hoặc flash ROM với một bản tương thích.