Especialistas desvendam como praga digital para Android persiste após redefinição de sistema


Considerado ‘quase impossível’ de remover, cavalo de troia xHelper modifica arquivos de sistema ‘intocáveis’. Praticamente qualquer vírus ou programa de espionagem para celular pode ser removido com a redefinição ou restauração do aparelho às configurações de fábrica, que apaga todos os arquivos e aplicativos instalados. Um vírus para Android, conhecido como xHelper, no entanto, desafia essa ideia e consegue permanecer no telefone.
O truque usado pelo vírus para realizar essa façanha foi desvendado pelo especialista Igor Golovin, da fabricante de antivírus russa Kaspersky. Após ser instalado no aparelho, o vírus explora vulnerabilidades no Android para obter acesso “root” (superusuário) e acrescentar arquivos à partição do sistema – um local que normalmente não pode ser modificado por nenhum aplicativo.
Como o sistema supõe essa partição é intocável, ela não é limpa pela restauração das configurações de fábrica. Depois da restauração, os arquivos do vírus presentes nessa partição serão novamente carregados, reinstalando o xHelper.
O xHelper utiliza outro truque muito agressivo para que o usuário não consiga removê-lo: o bloqueio da mesma partição de sistema onde ele guarda seus arquivos. Ele faz isso modificando o arquivo de sistema “libc.so” com um código que afeta um comando chamado “mount”. Esse comando precisa ser usado para destrancar a partição de sistema, mas não vai funcionar corretamente com o arquivo “libc.so” adulterado.
Em outras palavras, o vírus faz modificações na partição de sistema e depois toma medidas para que o usuário não consiga desfazê-las.
Embora antivírus de Android sejam incapazes de remover o xHelper, muitos conseguem detectar a presença do vírus no aparelho. De acordo com a Kaspersky, os russos são os que mais sofrem com o vírus (80,56% dos casos), mas a praga também é encontrada no Brasil (0,24% dos casos).
Brasil teve 0,24% dos casos de xHelper identificados pela Kaspersky em 2019 e 2020. Rússia é o país mais afetado, com 80,56% dos casos
Divulgação/Kaspersky
De acordo com Golovin, da Kaspersky, é “extremamente perigoso” usar um smartphone contaminado com o xHelper. “O malware instala um ‘backdoor’ com a capacidade de executar comandos como superusuário. Ele fornece acesso total aos dados de aplicativos para os atacantes e pode ser usado por outros malwares, como o CookieThief [que rouba dados de autenticação]”, explicou o analista.
A operação de “reflash” é a mais indicada e simples para eliminar o xHelper. Esse procedimento é semelhante à reformação de um computador e instala um sistema novo, normalmente fornecido pelo fabricante. Porém, os dispositivos mais vulneráveis ao xHelper são modelos de fabricantes chineses menos conhecidos – e alguns deles têm pragas digitais embutidas no próprio sistema, o que exige a busca por uma versão do Android alternativa.
Se não houver uma versão atualizada e segura do Android disponível para um aparelho contaminado pelo xHelper, o descarte do celular pode ser a única opção segura.
A remoção manual do vírus é possível, mas é extremamente trabalhosa. Ela exige a restauração do “libc.so” a partir de uma cópia limpa original do sistema, seguida da eliminação dos arquivos antes “intocáveis”.
Android atualizado e Play Store evitam ataques
O xHelper é distribuído em lojas de aplicativos “alternativas” do Android, normalmente como um “otimizador de desempenho” ou “eliminador de arquivos desnecessários”. Depois de ser instalado, o aplicativo some da gaveta de apps e só pode ser removido pela lista nas configurações de sistema. No entanto, se o componente de persistência foi instalado com sucesso, o vírus retornará ao sistema imediatamente.
Como o xHelper só aparece em lojas alternativas, instalar aplicativos exclusivamente na Play Store – a loja oficial do Android – ajuda a limitar a exposição a esse e outros códigos maliciosos. Embora nem todos os programas na Play Store sejam confiáveis, ataques mais agressivos, como o xHelper, normalmente não passam nos filtros da loja do Google.
A atualização do sistema também blinda o aparelho contra esse vírus. A praga digital precisa explorar falhas no Android para conseguir realizar modificações no sistema e, na versão atual do vírus, essa exploração só funciona em aparelhos com Android 6 e 7, enquanto a versão mais atual é a 10.
De acordo com a Kaspersky, certos modelos de celulares chineses são mais vulneráveis, mas a companhia não explicou a razão. O componente do xHelper responsável por explorar essas falhas no sistema é o vírus Triada. O Triada é notório por ter sido pré-instalado de fábrica em vários aparelhos de pequenas marcas chinesas, muitas delas sem certificação do Google – a ausência da Play Store no aparelho é o principal indício de que ele não foi certificado.
Celulares só recebem atualização de sistema por alguns anos, e fabricantes omitem detalhes.
Por essa razão, usuários devem procurar telefones que recebam atualizações frequentes e que sejam de marcas conhecidas e homologados pela Agência Nacional de Telecomunicações (Anatel). Atualmente, os únicos aparelhos com Android com atualizações frequentes garantidas pelos fabricantes são os da linha Android One e o Pixel do Google, que não é comercializado no Brasil.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

Deixe uma resposta

*

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.