Connexion
Abonnez-vous

Xhelper, un malware Android capable de se réinstaller seul

Xhelper, un malware Android capable de se réinstaller seul

Le 04 novembre 2019 à 10h08

Symantec et Malwarebytes ont averti récemment d’une menace grandissante, en tout cas en Inde, aux États-Unis et en Russie.

Nommé Xhelper, le malware a des origines floues. Symantec pense à des applications infectées depuis des sources tierces d’installation, MalwareBytes affirme qu’il est distribué par des sites de jeux attirant l’utilisateur vers l’action qui déclenchera la récupération.

La charge virale s’installe comme service en tâche de fond et se met aux ordres d’un serveur C&C (command and control). De nombreux autres outils peuvent alors être télécharger pour s’adapter au contexte ou aux envies des responsables.

Selon Symantec, environ 45 000 appareils ont déjà été infectés. Le malware ne fait pour l’instant pas trop de dégâts : il se contente d’afficher de la publicité. Mais au vu de son fonctionnement (son retrait complet semble impossible), ses auteurs pourraient être tentés par des actions plus agressives, comme le vol de données personnelles.

Les recommandations des sociétés de sécurité sont finalement toujours les mêmes : toujours télécharger les applications depuis des sources sûres, comme le Play Store de Google (même si ce n’est jamais une garantie absolue), et être très prudent quand on visite un site vers lequel on a été redirigé.

Le 04 novembre 2019 à 10h08

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

pour plus de détails: l’appli s’installe sans mettre d’icone dans la liste des applis (un peu comme certaines applis de claviers, ou autres qui n’ont pas de GUI propre) et installe en plus un service qui s’occupe de réinstaller l’appli si elle était désinstallée depuis le panneau de configuration des applications. un factory reset “peut” en venir à bout mais c’est au dépends des données et applis user…

Il semble que l’équipe derrière le virus soit de plus très active car de nombreuses modifications du code du virus ont été découvertes au fur et à mesure des analyses.

votre avatar

Pas mal d’articles font état de l’impossibilité de virer le virus, même avec un factory reset.https://www.zdnet.com/article/new-unremovable-xhelper-malware-has-infected-45000…

votre avatar

Il doit s’installer sur la partition système, qui n’est pas réinitialisée au factory reset.

Ce qui impliquerait qu’il utilise une faille pour s’octroyer des droits root ?

Si c’est le cas, la seule alternative est de reflasher la ROM.



Il me semble que certaines applications (Cerberus par exemple) utilisent déjà ce système.



 

votre avatar

ouais, c’est ce que j’ai cru comprendre en fouillant un peu plus mais je trouve pas le détail de comment il s’y prend.

“How xHelper survives factory resets is still a mystery; however, both Malwarebytes and Symantec said xHelper doesn’t tamper with system services system apps”



donc il se fait passer pour un service système mais n’en est pas vraiment un?

votre avatar







foilivier a écrit :



Si c’est le cas, la seule alternative est de reflasher la ROM.





ce qui n’est pas à la portée de n’importe qui, et n’est pas sans risque.


votre avatar

C’est devenu pratiquement impossible de bricker totalement un téléphone jusqu’au point où tu n’as plus de solution en 2019, même en le faisant exprès.



Je le sais, j’ai réussi à bricker mon Xiaomi jusqu’au point où le téléphone ne réagit plus du tout (plus d’écran, plus d’indication de charge, plus de vibration, plus de led, une brique quoi), parce que je m’étais gourré de firmwire (mauvais modèle).

J’ai sacrifié un câble USB pour mettre le téléphone en mode DeepFlash (faut dénuder le câble USB et faire un court-circuit précis pendant 10 secondes) et envoyer la rom en aveugle, téléphone débrické.



Le risque est devenu ultra faible et les tutos sont suffisamment bon pour que n’importe qui qui sait lire des tutos étapes par étapes puissent le faire lui-même.



Et ça c’est dans le cas où tu sors des sentiers battues et que tu installes un custom recovery et une rom custom, la plupart des constructeurs te mettent maintenant un outil à disposition pour flasher leurs ROMs si nécessaire (pas tous malheureusement).



Donc oui, tu as un risque, mais de l’ordre de 0,0001 % (j’en sais quelques choses, le premier téléphone que j’ai flashé été le Samsung E900, et là tu avais un vrai risque <img data-src=" /> )

votre avatar

Donc tu confirmes que c’est pas à la portée de tout le monde, très loin de là même puisqu’il faut déjà savoir que l’opération est possible avant de penser à chercher un tuto, mais en plus qu’elle n’est pas sans risque (faire un court circuit précis sur ton câble USB même si les circuits aujourd’hui sont protégés, j’appelle pas ça une bidouille anodine non plus).

votre avatar

oui je sais bien, le risque n’est pas technique mais humain: tu sautes une ligne dans le tuto, tu lis pas jusqu’au bout, tu te trompes de firmware ( <img data-src=" /> ) , tu te plantes de partition, tu débranche le câble avant la fin… le problème c’est l’interface chaise clavier, pas le logiciel, mais c’est quand même une opération assez délicate dans le sens où si tu te plantes, ton téléphone peut devenir inutilisable plus ou moins définitivement…

votre avatar

Le coup de dénuder un fil pour court-circuiter c’est dans le cas où tu as foiré le flash standard, sinon il s’agit “juste” de téléchargé un outil, une rom, brancher le téléphone sur le PC, appuyer sur “flasher” (je schématise, mais c’est pas loin de ça).



Comme le dit Minikea, le problème étant que sur ces quelques étapes, il est assez simple de se tromper d’outil ou de ROM et de se retrouver avec un tel en pls…

votre avatar

C’est parce que j’ai pas de patience, donc c’est un fix ghetto chez moi parce que je voulais pas attendre la livraison, mais si tu veux le faire proprement : DeepFlash Cable



Et je parle d’un cas ultra spécifique, avec un firmwire spécifique pour fix un problème de GPS spécifique que j’avais, le cas qui concerne moins d’1 % de ceux qui ont un smartphone.



Chez Xiaomi ils te file l’outil de flash et la rom en mode clickodrome, t’as même pas besoin de suivre un tuto, et je suis sûr que d’autre constructeur le font mieux aussi avec un outil qui cherche lui-même la bonne ROM.



Mon exemple est plus pour illustrer que même en faisant vraiment n’importe quoi, tu t’en sors quand même en 2019 or la solution pour le problème ici présent serait un simple outil fournit par le constructeur qui reflash la rom, même pas besoin de tuto (si le constructeur fait le suivi de ses téléphones évidemment). Très, très loin de la manipulation que j’ai dû faire.

votre avatar

Oui, mais en 2019 tu peux t’en sortir plus ou moins facilement, ce qui n’était pas le cas si tu flashs un téléphone avant l’époque android, là tu avais la goutte au front quand tu faisais l’opération car c’était impossible de rattraper, contrairement à aujourd’hui.

votre avatar

Moi c’était une manipulation totalement non standard avec un firmwire cherché ailleurs. Les tutos de flash, même si tu loupes une étape, tu te retrouve pas bloqué comme moi.



La plupart du temps tu tiens enfoncé les boutons pour le mettre en mode fastboot et tu recommences, rien de vraiment bloquant si tu te loupes sur ce type de manipulation <img data-src=" />. Flashant des téléphones depuis l’adolescence, de nos jours c’est devenu tellement facile et le risque est ultra faible, ça me stress moins <img data-src=" />

votre avatar

Ben je persiste à penser que pour une grosse majorité des gens, le flash est hors de leur portée (ne serait-ce que de leur portée psychologique, avec tous les messages de warning que tu dois lire et accepter avant de flasher ton téléphone).



EDIT : et j’ai bien conscience des étapes, je travaillais sur la modification d’un kernel pour les Samsung du S2 au S5, et depuis j’ai eu pas mal de modèles de marques différentes entre les mains ^^).



Même Xiaomi que tu cites comme un clicodrome n’en est pas un. Le logiciel est en anglais, par défaut leur site est en chinois, tu dois attendre 3 jours avant de flasher pour déverrouiller ton téléphone, bref ce n’est ni clair ni simple.



Pour beaucoup de gens c’est complètement rédhibitoire, même si la personne un peu curieuse s’en tirera probablement sans aucun soucis.

votre avatar

Tu n’as pas besoin de déverrouillé le phone si tu flashs une ROM officiel, ni d’attendre 3 jours (mais le bootloader reste verrouillé).



Après c’est au constructeur de mettre en place le process, même un bête GUI avec fastboot derrière rend la chose ultra simple. Mais ça reste bien trop rare.



Je vois sinon une derrière solution qui pourrait marcher, le flash de rom depuis le téléphone directement avec un factory reset, tout se fait depuis le téléphone, donc encore plus simple.

votre avatar

Bonjour,&nbsp;

Je me demande si mon téléphone Samsung S10 possède cet adware puisque j’ai régulièrement des pages publicitaires qui s’affichent de façon intempestive 1 ou 2 fois par mois à peu près.

Ceci avait déjà commencé avec mon S7, il y a 2 ans, je n’avais jamais réussi à m’en débarasser même avec un hard reset, et j’avais eu le même problème qui est apparu en même temps avec ma tablette.&nbsp;

J’ai remarqué que ma mère a eu le même adware, qui est apparu en même temps, et il est aussi resté sur son nouveau téléphone.

Il est aussi possible que mon vivobook que j’ai depuis 2 semaines soit lui aussi infecté. Que faire ? Merci

votre avatar

Si il faut sacrifier un câble pour une manip deep de ce style, autant dire que ton tél est briqué (pour la majorité même des ingés, je pense). Le fabricant a juste mis une sécurité très bas niveau, voire peut-être au niveau électronique (je dis ça en l’air, je sais).



Mais bon, même en bricolant (beaucoup trop, et en faisant des erreurs) plusieurs téléphones, ni moi ni mes frères ne nous sommes retrouvés dans un cas aussi… extrême. Donc je plussoie carrément ton message.

votre avatar

Faut arrêter d’aller sur des sites chelous <img data-src=" />

Et ton vivobook est un PC, pas un smartphone android. Aucune chance que ça soit le même virus.

votre avatar

Il “suffirait” en fait de se baser sur les mécanismes de mises à jour OTA (pas les màj delta, mais les màj complètes).

votre avatar

Merci beaucoup pour ta réponse mais je n’y connais vraiment rien en informatique, je suis incapable de faire ce que tu dis. Tu penses que ça serait utile d’aller voir un informaticien ?&nbsp;

Pour le vivobook, j’ai eu pour l’instant un pop-up qui s’est affiché, et il me semble que la même page s’était aussi affichée sur mon téléphone, je ne penses pas que ce soit un hasard. Après, c’est vrai que mon ancien ordi n’a jamais été infecté.

votre avatar

Ça servirait à quelque chose de regarder l’inspection du pop-up qui s’est affichée sur mon ordi ?

votre avatar

C’est les proco de Qualcomm me semble qui ont ce système de deepflash. Mais ce câble existe et tu peux l’acheter sur Amazon, c’est juste que j’ai pas de patience donc je l’ai fabriqué moi même.



C’est ce genre de câble

votre avatar

Je connais pas exactement la différence, mais les MAJs complète dont tu parles nécessitent un wipe complet pour booter (comme quand tu changes de custom rom) ?

votre avatar

Oui justement. En gros t’as deux “styles” de OTA : la complète et la delta.

La delta est intéressante pour le fabricant qui n’a pas envie que son serveur soit écrasé par 1 million d’appareils qui téléchargent 600mo de ROM à chaque petit fix.

La complète est intéressante pour… Bah tous ceux qui n’ont pas l’infrastructure et le temps à consacrer pour développer un système de delta potable xD Donc les petits fabricants, les développeurs de ROM alternatives.



Pour la complète, je suppose (?) qu’il y a effacement du système avant le flash, sinon on risque de laisser en place des fichiers qui n’existent plus dans la nouvelle version.

votre avatar

OK, c’est chelou comme méthode quand même ^^ Bon, je suis content de savoir qu’il y a un fail-safe ultime de la dernière chance.

Xhelper, un malware Android capable de se réinstaller seul

Fermer