Xhelper, un malware Android capable de se réinstaller seul
Le 04 novembre 2019 à 10h08
2 min
Société numérique
Société
Symantec et Malwarebytes ont averti récemment d’une menace grandissante, en tout cas en Inde, aux États-Unis et en Russie.
Nommé Xhelper, le malware a des origines floues. Symantec pense à des applications infectées depuis des sources tierces d’installation, MalwareBytes affirme qu’il est distribué par des sites de jeux attirant l’utilisateur vers l’action qui déclenchera la récupération.
La charge virale s’installe comme service en tâche de fond et se met aux ordres d’un serveur C&C (command and control). De nombreux autres outils peuvent alors être télécharger pour s’adapter au contexte ou aux envies des responsables.
Selon Symantec, environ 45 000 appareils ont déjà été infectés. Le malware ne fait pour l’instant pas trop de dégâts : il se contente d’afficher de la publicité. Mais au vu de son fonctionnement (son retrait complet semble impossible), ses auteurs pourraient être tentés par des actions plus agressives, comme le vol de données personnelles.
Les recommandations des sociétés de sécurité sont finalement toujours les mêmes : toujours télécharger les applications depuis des sources sûres, comme le Play Store de Google (même si ce n’est jamais une garantie absolue), et être très prudent quand on visite un site vers lequel on a été redirigé.
Le 04 novembre 2019 à 10h08
Commentaires (24)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/11/2019 à 09h31
pour plus de détails: l’appli s’installe sans mettre d’icone dans la liste des applis (un peu comme certaines applis de claviers, ou autres qui n’ont pas de GUI propre) et installe en plus un service qui s’occupe de réinstaller l’appli si elle était désinstallée depuis le panneau de configuration des applications. un factory reset “peut” en venir à bout mais c’est au dépends des données et applis user…
Il semble que l’équipe derrière le virus soit de plus très active car de nombreuses modifications du code du virus ont été découvertes au fur et à mesure des analyses.
Le 04/11/2019 à 09h59
Pas mal d’articles font état de l’impossibilité de virer le virus, même avec un factory reset.https://www.zdnet.com/article/new-unremovable-xhelper-malware-has-infected-45000…
Le 04/11/2019 à 10h02
Il doit s’installer sur la partition système, qui n’est pas réinitialisée au factory reset.
Ce qui impliquerait qu’il utilise une faille pour s’octroyer des droits root ?
Si c’est le cas, la seule alternative est de reflasher la ROM.
Il me semble que certaines applications (Cerberus par exemple) utilisent déjà ce système.
Le 04/11/2019 à 12h16
ouais, c’est ce que j’ai cru comprendre en fouillant un peu plus mais je trouve pas le détail de comment il s’y prend.
“How xHelper survives factory resets is still a mystery; however, both Malwarebytes and Symantec said xHelper doesn’t tamper with system services system apps”
donc il se fait passer pour un service système mais n’en est pas vraiment un?
Le 04/11/2019 à 12h17
Le 04/11/2019 à 12h37
C’est devenu pratiquement impossible de bricker totalement un téléphone jusqu’au point où tu n’as plus de solution en 2019, même en le faisant exprès.
Je le sais, j’ai réussi à bricker mon Xiaomi jusqu’au point où le téléphone ne réagit plus du tout (plus d’écran, plus d’indication de charge, plus de vibration, plus de led, une brique quoi), parce que je m’étais gourré de firmwire (mauvais modèle).
J’ai sacrifié un câble USB pour mettre le téléphone en mode DeepFlash (faut dénuder le câble USB et faire un court-circuit précis pendant 10 secondes) et envoyer la rom en aveugle, téléphone débrické.
Le risque est devenu ultra faible et les tutos sont suffisamment bon pour que n’importe qui qui sait lire des tutos étapes par étapes puissent le faire lui-même.
Et ça c’est dans le cas où tu sors des sentiers battues et que tu installes un custom recovery et une rom custom, la plupart des constructeurs te mettent maintenant un outil à disposition pour flasher leurs ROMs si nécessaire (pas tous malheureusement).
Donc oui, tu as un risque, mais de l’ordre de 0,0001 % (j’en sais quelques choses, le premier téléphone que j’ai flashé été le Samsung E900, et là tu avais un vrai risque " /> )
Le 04/11/2019 à 12h51
Donc tu confirmes que c’est pas à la portée de tout le monde, très loin de là même puisqu’il faut déjà savoir que l’opération est possible avant de penser à chercher un tuto, mais en plus qu’elle n’est pas sans risque (faire un court circuit précis sur ton câble USB même si les circuits aujourd’hui sont protégés, j’appelle pas ça une bidouille anodine non plus).
Le 04/11/2019 à 12h51
oui je sais bien, le risque n’est pas technique mais humain: tu sautes une ligne dans le tuto, tu lis pas jusqu’au bout, tu te trompes de firmware ( " /> ) , tu te plantes de partition, tu débranche le câble avant la fin… le problème c’est l’interface chaise clavier, pas le logiciel, mais c’est quand même une opération assez délicate dans le sens où si tu te plantes, ton téléphone peut devenir inutilisable plus ou moins définitivement…
Le 04/11/2019 à 13h17
Le coup de dénuder un fil pour court-circuiter c’est dans le cas où tu as foiré le flash standard, sinon il s’agit “juste” de téléchargé un outil, une rom, brancher le téléphone sur le PC, appuyer sur “flasher” (je schématise, mais c’est pas loin de ça).
Comme le dit Minikea, le problème étant que sur ces quelques étapes, il est assez simple de se tromper d’outil ou de ROM et de se retrouver avec un tel en pls…
Le 04/11/2019 à 13h19
C’est parce que j’ai pas de patience, donc c’est un fix ghetto chez moi parce que je voulais pas attendre la livraison, mais si tu veux le faire proprement : DeepFlash Cable
Et je parle d’un cas ultra spécifique, avec un firmwire spécifique pour fix un problème de GPS spécifique que j’avais, le cas qui concerne moins d’1 % de ceux qui ont un smartphone.
Chez Xiaomi ils te file l’outil de flash et la rom en mode clickodrome, t’as même pas besoin de suivre un tuto, et je suis sûr que d’autre constructeur le font mieux aussi avec un outil qui cherche lui-même la bonne ROM.
Mon exemple est plus pour illustrer que même en faisant vraiment n’importe quoi, tu t’en sors quand même en 2019 or la solution pour le problème ici présent serait un simple outil fournit par le constructeur qui reflash la rom, même pas besoin de tuto (si le constructeur fait le suivi de ses téléphones évidemment). Très, très loin de la manipulation que j’ai dû faire.
Le 04/11/2019 à 13h22
Oui, mais en 2019 tu peux t’en sortir plus ou moins facilement, ce qui n’était pas le cas si tu flashs un téléphone avant l’époque android, là tu avais la goutte au front quand tu faisais l’opération car c’était impossible de rattraper, contrairement à aujourd’hui.
Le 04/11/2019 à 13h25
Moi c’était une manipulation totalement non standard avec un firmwire cherché ailleurs. Les tutos de flash, même si tu loupes une étape, tu te retrouve pas bloqué comme moi.
La plupart du temps tu tiens enfoncé les boutons pour le mettre en mode fastboot et tu recommences, rien de vraiment bloquant si tu te loupes sur ce type de manipulation " />. Flashant des téléphones depuis l’adolescence, de nos jours c’est devenu tellement facile et le risque est ultra faible, ça me stress moins " />
Le 04/11/2019 à 13h57
Ben je persiste à penser que pour une grosse majorité des gens, le flash est hors de leur portée (ne serait-ce que de leur portée psychologique, avec tous les messages de warning que tu dois lire et accepter avant de flasher ton téléphone).
EDIT : et j’ai bien conscience des étapes, je travaillais sur la modification d’un kernel pour les Samsung du S2 au S5, et depuis j’ai eu pas mal de modèles de marques différentes entre les mains ^^).
Même Xiaomi que tu cites comme un clicodrome n’en est pas un. Le logiciel est en anglais, par défaut leur site est en chinois, tu dois attendre 3 jours avant de flasher pour déverrouiller ton téléphone, bref ce n’est ni clair ni simple.
Pour beaucoup de gens c’est complètement rédhibitoire, même si la personne un peu curieuse s’en tirera probablement sans aucun soucis.
Le 04/11/2019 à 18h17
Tu n’as pas besoin de déverrouillé le phone si tu flashs une ROM officiel, ni d’attendre 3 jours (mais le bootloader reste verrouillé).
Après c’est au constructeur de mettre en place le process, même un bête GUI avec fastboot derrière rend la chose ultra simple. Mais ça reste bien trop rare.
Je vois sinon une derrière solution qui pourrait marcher, le flash de rom depuis le téléphone directement avec un factory reset, tout se fait depuis le téléphone, donc encore plus simple.
Le 04/11/2019 à 20h01
Bonjour,
Je me demande si mon téléphone Samsung S10 possède cet adware puisque j’ai régulièrement des pages publicitaires qui s’affichent de façon intempestive 1 ou 2 fois par mois à peu près.
Ceci avait déjà commencé avec mon S7, il y a 2 ans, je n’avais jamais réussi à m’en débarasser même avec un hard reset, et j’avais eu le même problème qui est apparu en même temps avec ma tablette.
J’ai remarqué que ma mère a eu le même adware, qui est apparu en même temps, et il est aussi resté sur son nouveau téléphone.
Il est aussi possible que mon vivobook que j’ai depuis 2 semaines soit lui aussi infecté. Que faire ? Merci
Le 05/11/2019 à 14h54
Si il faut sacrifier un câble pour une manip deep de ce style, autant dire que ton tél est briqué (pour la majorité même des ingés, je pense). Le fabricant a juste mis une sécurité très bas niveau, voire peut-être au niveau électronique (je dis ça en l’air, je sais).
Mais bon, même en bricolant (beaucoup trop, et en faisant des erreurs) plusieurs téléphones, ni moi ni mes frères ne nous sommes retrouvés dans un cas aussi… extrême. Donc je plussoie carrément ton message.
Le 05/11/2019 à 15h03
Faut arrêter d’aller sur des sites chelous " />
Et ton vivobook est un PC, pas un smartphone android. Aucune chance que ça soit le même virus.
Le 05/11/2019 à 15h05
Il “suffirait” en fait de se baser sur les mécanismes de mises à jour OTA (pas les màj delta, mais les màj complètes).
Le 06/11/2019 à 11h37
Merci beaucoup pour ta réponse mais je n’y connais vraiment rien en informatique, je suis incapable de faire ce que tu dis. Tu penses que ça serait utile d’aller voir un informaticien ?
Pour le vivobook, j’ai eu pour l’instant un pop-up qui s’est affiché, et il me semble que la même page s’était aussi affichée sur mon téléphone, je ne penses pas que ce soit un hasard. Après, c’est vrai que mon ancien ordi n’a jamais été infecté.
Le 06/11/2019 à 11h40
Ça servirait à quelque chose de regarder l’inspection du pop-up qui s’est affichée sur mon ordi ?
Le 06/11/2019 à 19h15
C’est les proco de Qualcomm me semble qui ont ce système de deepflash. Mais ce câble existe et tu peux l’acheter sur Amazon, c’est juste que j’ai pas de patience donc je l’ai fabriqué moi même.
C’est ce genre de câble
Le 06/11/2019 à 19h17
Je connais pas exactement la différence, mais les MAJs complète dont tu parles nécessitent un wipe complet pour booter (comme quand tu changes de custom rom) ?
Le 07/11/2019 à 13h21
Oui justement. En gros t’as deux “styles” de OTA : la complète et la delta.
La delta est intéressante pour le fabricant qui n’a pas envie que son serveur soit écrasé par 1 million d’appareils qui téléchargent 600mo de ROM à chaque petit fix.
La complète est intéressante pour… Bah tous ceux qui n’ont pas l’infrastructure et le temps à consacrer pour développer un système de delta potable xD Donc les petits fabricants, les développeurs de ROM alternatives.
Pour la complète, je suppose (?) qu’il y a effacement du système avant le flash, sinon on risque de laisser en place des fichiers qui n’existent plus dans la nouvelle version.
Le 07/11/2019 à 13h29
OK, c’est chelou comme méthode quand même ^^ Bon, je suis content de savoir qu’il y a un fail-safe ultime de la dernière chance.