FERRAMENTAS LINUX: Um Malware Android remove os aplicativos Bloatware para o seu próprio bem

domingo, 26 de janeiro de 2020

Um Malware Android remove os aplicativos Bloatware para o seu próprio bem



A nova versão do Android.Xiny Trojan é vista on-line



Um trojan Android detectado pela primeira vez em 2015 retornou cinco anos depois com recursos atualizados, incluindo um mecanismo para desinstalar aplicativos pré-carregados para abrir espaço para seus próprios propósitos maliciosos.

O cavalo de Troia Android.Xiny é especificamente voltado para dispositivos com Android mais antigo - uma análise realizada pelo Dr. Web revela que o vírus geralmente tem como alvo o Android 5.1 e inferior.

À primeira vista, isso pode não parecer grande coisa, mas a empresa de segurança aponta para os dados compartilhados pelo Google no ano passado, que revelaram que o Android 5 e versões anteriores ainda estavam alimentando cerca de 25% de todos os dispositivos Android existentes. Em outras palavras, 1 em cada 4 usuários do Android pode estar vulnerável a ataques do Android.Xiny.

A versão atualizada do malware mantém a capacidade de instalar aplicativos sem permissões de usuário, mas este vem com "recursos" extras.

O Android.Xiny obtém acesso root em dispositivos Android comprometidos e permite que a persistência seja iniciada automaticamente mesmo após a inicialização do dispositivo. Isso é feito substituindo os arquivos do sistema / system / bin / debuggerd e / system / bin / ddexe e aguarda instruções de um servidor de comando e controle.

Como remover o malware

O malware também remove aplicativos instalados que forneceriam ao usuário acesso root, tecnicamente tornando muito mais difícil para qualquer um limpar a infecção. Além disso, ele define novas regras no arquivo lbc.so da biblioteca para impedir que os usuários reinstale esses aplicativos.

Os aplicativos pré-carregados instalados em um dispositivo Android são removidos para liberar espaço para os aplicativos que ele instala por conta própria. Na maioria das vezes, esses aplicativos estão sendo usados ​​por invasores para gerar receita com programas de referência de pagamento por instalação.

No entanto, os invasores geralmente instalam vários aplicativos em um dispositivo comprometido, o que reduz drasticamente o desempenho e torna praticamente impossível o uso.

Remover Android.Xiny não é uma coisa fácil de fazer. Você pode fazer o flash de uma ROM limpa para começar do zero em um dispositivo comprometido ou tentar obter novamente o acesso root usando métodos mais complexos.

“Para obter acesso root, pode-se recorrer a explorações implementadas como arquivos de biblioteca. Ao contrário do código executável, o código da biblioteca não será bloqueado pelo cavalo de Troia. Outra opção é usar o componente trojan que concede permissões de root a seus outros componentes ”, explica o Dr. Web.

Os backups são obviamente recomendados, caso a atualização do dispositivo seja a única opção após um ataque bem-sucedido do Android.Xiny.


Fonte

Até a próxima !

Nenhum comentário:

Postar um comentário