Attention à ce malware Android persistant qui survit même aux restaurations d'usine

13 février 2020 à 18h07
0
malware
© shutterstock.com

Connu sous le nom de xHelper, le malware fut découvert en 2019 par le spécialiste de la cybersécurité Malwarebytes. Et il est plutôt résistant, puisqu'il survit même à une réinitialisation complète de votre appareil.

Découvert en mai 2019, xHelper était, dès l'été, en tête des tableaux de détection de Malwarebytes, avec plus de 33 000 installations. La société californienne a de nouveau été alertée, au mois de janvier 2020, par une utilisatrice dont le smartphone avait été victime du virus xHelper. Et quoi qu'elle fasse, cette dernière n'a pas réussi à s'en débarrasser, même en procédant à une restauration d'usine de son mobile.

xHelpler, le malware increvable (ou presque) qui revient en boucle

Diffusé principalement sur des smartphones Android américains dont nous avions récemment parlé sur Clubic, xHelper fonctionne comme une porte dérobée capable de recevoir des commandes à distance et d'installer d'autres applications sur l'appareil infecté. Sur son blog, Malwarebytes a détaillé le parcours effectué par une utilisatrice de son forum, qui tentait de se débarrasser de l'encombrant virus.


Pour écarter xHelper, Amelia a supprimé deux variantes du malware. Sauf que celui-ci était de retour dans l'heure. Alors, elle a cru bon de procéder à une restauration d'usine de son appareil. Cela n'a pas fonctionné. Sur le téléphone qui a servi de « cobaye », aucune autre application hormis Malwarebytes pour Android ne fut installée après la restauration, si ce n'est les applis natives au mobile.

xhelper.jpg
Voici les dossiers coupables (© Malwarebytes)

Une infection involontairement déclenchée par Google Play

Les chercheurs de Malwarebytes ont finalement identifié la source permettant la réinfection systématique. Il s'agit de dossiers contenus dans le téléphone et comportant des fichiers qui, une fois exécutés, installent xHelper. Les spécialistes en cybersécurité ont compris que même en cas de restauration complète de l'appareil, ces dossiers ne disparaissaient pas.


Un autre package d'application Android (APK) se trouvait caché dans le répertoire com.mufc.umbtts. L'APK en question n'est pas un cheval de Troie à proprement parler mais ce que l'on appelle un « compte-gouttes » (un injecteur, ou dropper dans sa version originale), nommé Android/Trojan.Dropper.xHelper.VRW. L'APK installait une variante de xHelper sur le smartphone, pouvant être déclenchée involontairement par un élément de Google Play. Mais la boutique d'applications de Google n'est elle-même pas infectée. Le mystère demeure donc.

Quoi qu'il en soit, pour être débarrassé du malware, les utilisateurs doivent supprimer les répertoires et les fichiers, en passant par Malwarebytes notamment, et en désactivant au préalable Google Play.

De mémoire de chercheur, Nathan Collier, de Malwarebytes, reconnaît avoir affaire à « l'infection la plus méchante » qu'il a pu rencontrer s'agissant des logiciels malveillants mobiles. C'est en effet la première fois qu'un virus survit à une réinitialisation d'usine du smartphone.

Source : Malwarebytes
Modifié le 13/02/2020 à 18h14
9
9
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

La justice allemande demande à Tesla de mettre en pause la construction de sa Gigafactory
Une taxe sur chaque connexion aux réseaux sociaux, pour remplacer la redevance TV ?
Des températures supérieures à 20 °C enregistrées pour la première fois en Antarctique
Volkswagen et E.ON dévoilent un projet de stations de charge rapide pour véhicules électriques
Citroën devrait dévoiler une voiture électrique particulièrement abordable le 27 février
Airbus : les USA augmentent nettement les taxes douanières sur les avions européens
Il y a maintenant 300 satellites Starlink au-dessus de nos têtes
Bugatti dévoile un concept d'hypercar dément, conçu par un étudiant en design
Le processeur AMD Threadripper 3990X peut faire tourner Crysis… Sans carte graphique

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top