45.000 infizierte Geräte: Neue Android-Malware übersteht auch Factory Reset

  • TIPP

  • mad.de
  • 1260 Aufrufe 1 Antwort

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • 45.000 infizierte Geräte: Neue Android-Malware übersteht auch Factory Reset

    xHelper richtet sich als Android-Dienst ein und installiert sich nach seiner Löschung erneut. Weder Malwarebytes noch Symantec finden heraus, wie die Malware auch ein Factory Reset überseht. Bisher beschränkt sich xHelper auf die Einblendung unerwünschter Werbung.

    In den vergangenen sechs Monaten hat sich eine neue Android-Malware auf rund 45.000 Geräten eingenistet. Der xHelper genannte Schädling, der seitdem unter anderem von Malwarebytes und Symantec untersucht wurde, hat eine sehr lästige Besonderheit: Selbst wenn ein infiziertes Smartphone oder Tablet auf die Werkseinstellungen zurückgesetzt wird, kann sich xHelper erneut installieren.

    Symantec fand nun heraus, dass die Schadsoftware derzeit rund 131 neue Opfer täglich findet und somit jeden Monat weitere 2400 Geräte befällt. In erster Linie soll sich xHelper in Indien, den USA und Russland verbreiten.

    Die Verbreitung erfolgt laut Malwarebytes über Weiterleitungen, die Nutzer zu Websites mit Installationsdateien für Android-Apps führen und mit Anleitungen für Sideloading dazu verleiten, diese Apps auf ihren Geräten zu installieren. In diesen Apps enthaltener Code lädt schließlich xHelper herunter.

    Die Analysen von Malwarebytes und Symantec ergaben zudem, dass xHelper vor allem für die Einblendung von Pop-up-Anzeigen und Spam-Benachrichtigungen benutzt wird – einem Smartphone an sich also nicht schadet. Benachrichtigungen und Anzeigen leiten Nutzer wiederum in den Play Store, um weitere Apps zu installieren, wofür die Hintermänner wiederum eine Provision erhalten.

    Um seine Löschung zu verhindern, was xHelper von anderen Android-Schädlingen unterscheidet, richtet er sich als eigenständiger Dienst ein. Nutzer können die eigentliche App zwar deinstallieren, nicht aber den Dienst, der weiterhin die Funktionen der App ausführt, sprich unerwünschte Werbung einblendet.

    Auch eine Löschung des xHelper-Diensts funktioniert nicht, da sich die Malware erneut installieren kann. Das schafft sich auch nach einem Factory Reset, bei dem eigentlich alle vom Nutzer erzeugten Daten, also auch Schadsoftware, entfernt werden sollten.

    Unklar ist derzeit noch, wie xHelper es schafft, das Zurücksetzen auf die Werkseinstellungen zu überleben. Malwarebytes und Symantec schließen bisher lediglich aus, dass xHelper Systemdienste oder System-Apps manipuliert. Symantec hält es zudem für unwahrscheinlich, dass xHelper bereits vor der Auslieferung auf Android-Geräte gelangt.

    Berichten von Nutzern zufolge ist xHelper auch in der Lage, die Einstellung für das Installieren von Apps auf unbekannten Quellen zu aktivieren. Unter Umständen sollen jedoch kostenpflichtige Versionen einiger Sicherheitsanwendungen xHelper entfernen können – anderen Usern gelang dies jedoch nicht.

    Symantec geht zudem davon aus, dass xHelper kontinuierlich weiterentwickelt wird. Deswegen scheiterten Sicherheitsanwendungen immer wieder bei der Löschung der Malware.

    Sorgen bereitet Malwarebytes und Symantec zudem eine bisher nicht genutzte Funktion von xHelper. Der Schädling kann nämlich weitere Apps herunterladen und installieren. Es wäre also möglich, dass Cyberkriminelle xHelper künftig nutzen, um beispielsweise Ransomware oder Banking-Trojaner einzuschleusen.

    Quelle: 45.000 infizierte Geräte: Neue Android-Malware übersteht auch Factory Reset | ZDNet.de

  • Malwarebytes löscht „unlöschbare“ Android-Malware xHelper

    Sie übersteht einen Factory Reset. Malwarebytes findet jedoch eine Möglichkeit, die Routine für die Neuinstallation zu durchbrechen. Unklar ist weiterhin, wie xHelper die Google Play Services nutzt, um seine Löschung zu verhindern.

    Malwarebytes hat eine Möglichkeit gefunden, Android-Geräte, die mit der Schadsoftware xHelper verseucht sind, zu bereinigen. Bisher galt die Malware, die erstmals im März 2019 entdeckt wurde, als „unlöschbar“ – selbst, wenn ein infiziertes Smartphones oder Tablet auf die Werkseinstellungen zurückgesetzt wird, kann sich xHelper erneut installieren.

    Eigentlich ist xHelper ist erster Linie ein großes Ärgernis. Nutzer belästigt der Schädling mit aufdringlichen Pop-ups und unerwünschten Benachrichtigungen – eine wirkliche Gefahr stellt xHelper eigentlich nicht dar.

    Im August 2019 hatte Malwarebytes bereits 32.000 mit xHelper infizierte Geräte gezählt. Symantec meldete im Oktober nach einer eigenen Analyse mindestens 45.000 befallene Geräte. Der Sicherheitsanbieter errechnete daraus, dass sich die Zahl der Opfer monatlich um rund 2400 erhöht.

    Die Verbreitung soll über Weiterleitungen erfolgen, die Nutzer zu Websites mit Installationsdateien für Android-Apps führen und mit Anleitungen für Sideloading dazu verleiten, diese Apps auf ihren Geräten einzurichten. In diesen Apps enthaltener Code lädt schließlich xHelper herunter.

    Allerdings gelang es den Forschern von Malwarebytes und auch Symantec anfänglich nicht, xHelper wieder zu entfernen. Sie mussten die Berichte von Nutzern bestätigen, wonach die Malware auch ein Factory Reset übersteht und sich ohne irgendeine Interaktion mit dem Nutzer erneut auf dem frisch eingerichteten Gerät einnistet.

    Lediglich eine vollständige Neuinstallation des gesamten Android-Betriebssystem schaffte Abhilfe. Allerdings ist dies eine Lösung, die nicht alle Gerätehersteller ab Werk beziehungsweise offiziell anbieten.

    Ende vergangener Woche machte Malwarebytes nun eine Methode öffentlich, mit der sich xHelper entfernen lassen soll. Demnach richtet xHelper auf einem Android-Gerät Verzeichnisse und Dateien ein, die beim Zurücksetzen auf die Werkseinstellungen nicht automatisch entfernt werden. In einem Blogeintrag hält das Unternehmen eine Anleitung bereit, um mithilfe eines Dateimanagers und der kostenlosen App Malwarebytes für Android diese Verzeichnisse zu finden und zu löschen.

    Unklar ist weiterhin, wie xHelper die Google Play Services dazu bringt, nach einem Factory Reset aus diesen Verzeichnissen heraus xHelper erneut zu installieren. Aus diesem Grund muss während des Löschvorgangs auch der Google Play Service deaktiviert werden, was ebenfalls in der Anleitung beschrieben wird.

    „Dies ist bei weitem die schlimmste Infektion, der ich als mobiler Malware-Forscher begegnet bin. In der Regel wird selbst die schlimmste Infektion durch einen Factory Reset, der die letzte Option darstellt, behoben. Ich kann mich an keinen Fall erinnern, bei dem eine Infektion nach einem Factory Reset fortbestand, es sei denn, das Gerät wurde mit vorinstallierter Malware geliefert. Diese Tatsache hat mich versehentlich auf den falschen Weg gebracht“, sagte Nathan Collier, Senior Malware Intelligence Analyst bei Malwarebytes. Mit Hilfe einer hartnäckigen Nutzerin des Malwarebytes-Forums sei er letztlich doch zu einer Lösung gekommen.

    Quelle: Malwarebytes löscht "unlöschbare" Android-Malware xHelper | ZDNet.de