Android-skadevare dukker stadig opp i nye varianter, og nå har det kommet enda et ondsinnet program til plattformen som byr på brysomme egenskaper. Det melder blant andre ZDNet.
Sikkerhetsselskapet Symantec rapporterer om en Android-applikasjon kalt xHelper, som både er i stand til å skjule seg fra brukeren, laste ned andre ondsinnede programmer på enheten og vise annonser.
Svært vrien å fjerne
Appen ble først tilkjennegjort etter at brukere begynte å klage på diverse internett-fora over at programvaren fortsetter å være aktiv selv etter manuell fjerning, og det skal ha vist seg at den er tilnærmet umulig å fjerne.
Skadevaren installerer seg automatisk på nytt etter å ha blitt avsinstallert, og til og med en full formatering av mobilen fungerer visstnok ikke, ifølge mange av ofrene.
Denne appen har over 100 millioner nedlastinger på Google Play – spredte skadevare
xHelper byr ikke på et vanlig grensesnitt som er normal applikasjon, men er i stedet designet som en applikasjonskomponent, som innebærer at den ikke vises i enhetens applikasjonsstarter. Det gjør det enklere for skadevaren å utføre ondsinnede aktiviteter i det skjulte, skriver Symantec.
At programmet ikke dukker opp i applikasjonsstarteren betyr også at den ikke kan startes manuelt. I stedet startes den av «eksterne begivenheter», slik som når enheten kobles til eller fra strømforsyning, startes på nytt eller når en app installeres eller avinstalleres.
Spres raskt
Når skadevaren har oppnådd fotfeste på enheten dekypteres den ondsinnede lasten til minnet, som igjen kobler enheten til angriperens C&C-server (command and control) og venter på videre instrukser.
Ifølge Symantec er det foreløpig rundt 45 000 enheter som er rammet av skadevaren, som betyr at skadeomfanget hittil er ganske begrenset, men omfanget øker i raskt tempo. I snitt ble 131 enheter infisert av skadevaren hver dag bare forrige måned, ifølge selskapets beregninger.
Skadelige apper med over 330 millioner nedlastinger ble funnet på Google Play i september – dette er de største truslene
Det er ennå ikke helt klart hvordan skadevaren spres. Ifølge Symantec er det ikke funnet spor av programvaren på Google Play, og sikkerhetsselskapet undersøker nå muligheten for at andre ondsinnede apper brukes til å laste ned xHelper.
Et annet sikkerhetsselskap, Malwarebytes, meldte tidligere at skadevaren mest sannsynlig spres via omdirigeringer til tvilsomme nettsider som hoster Android-apper utenfor Google Play.
