#อันตราย #BreakingNews !!! พบการระบาดของมัลแวร์ตัวใหม่ xHelper ที่ไม่สามารถลบออกได้ แม้ทำการ Factory Reset ก็จะกลับมาติดตั้งใหม่ได้เอง โดยจะแสดงโฆษณาน่ารำคาญ ลามไปยันขโมยพาสเวิร์ดธนาคารได้ !!! โดยระบาดแพร่พันธุ์ใส่อุปกรณ์ Android กว่า 45,000 เครื่องแล้ว !!!! ข้อระวังคือห้ามติดตั้งแอพนอก Play Store โดยเด็ดขาด !!!!!

ในช่วงหกเดือนที่ผ่านมาสายพันธุ์มัลแวร์ Android ตัวใหม่ได้สร้างชื่อให้ตัวเองหลังจากโผล่ขึ้นมาบนการตรวจสอบของ บริษัท Anti Virus หลายแห่งและมีกลไกการติดตั้งตัวเองใหม่ด้วย

มันชื่อว่า 'xHelper' มัลแวร์นี้ถูกค้นพบครั้งแรกในเดือนมีนาคม แต่มีการขยายตัวช้าๆในการแพร่เชื้อมากกว่า 32,000 เครื่อง ภายในเดือนสิงหาคม (ข้อมูลโดย Malwarebytes) ในที่สุดก็ถึงการติดเชื้อถึง 45,000 เครื่องต่อเดือน (ข้อมูลโดย Symantec)

Symantec กล่าวว่า xHelper กำลังทำการแพร่เชื้อโดยเฉลี่ย 131 รายต่อวัน และประมาณ 2,400 รายต่อเดือน การติดไวรัสเหล่านี้ส่วนใหญ่พบในอินเดีย , สหรัฐอเมริกา และ รัสเซีย

การติดตั้งผ่านทางแอพพลิเคชั่น 3rd Party

ตามที่ Malwarebytes เผย แหล่งที่มาของการติดเชื้อเหล่านี้คือ "การเปลี่ยนเส้นทางเว็บ" ที่ส่งผู้ใช้ไปยังหน้าเว็บที่โฮสต์ของแอพ Android  เว็บไซต์เหล่านี้แนะนำผู้ใช้เกี่ยวกับวิธีการโหลดแอพ Android อย่างไม่เป็นทางการ จากการติดตั้งนอก Play Store และรหัสที่ซ่อนอยู่ในแอพเหล่านี้จะดาวน์โหลดโทรจัน xHelper มาติดตั้งในเครื่อง

ข่าวดีก็คือว่าโทรจันตัวนี้ไม่ได้ดำเนินการทำลายข้อมูลหรือระบบในเครื่อง  จากทั้ง Malwarebytes และ Symantec เผยว่าส่วนใหญ่โทรจันได้ทำการแสดงโฆษณาป๊อปอัปที่น่ารำคาญและสแปมแจ้งเตือน  โฆษณาและการแจ้งเตือนจะนำผู้ใช้ไปยัง Play Store ซึ่งผู้ที่ตกเป็นเหยื่อจะถูกขอให้ติดตั้งแอพอื่นๆ ซึ่งหมายถึงผู้สร้าง xHelper ทำเงินจากค่าคอมมิชชั่นต่อการติดตั้งแอพนั้นๆ

แต่สิ่งที่น่าสนใจที่สุดก็คือ xHelper ไม่ทำงานเหมือนมัลแวร์ Android อื่นๆ เมื่อโทรจันเข้าถึงอุปกรณ์ Android ผ่านแอพเริ่มต้น xHelper จะติดตั้งตัวเองเป็นบริการแยกออกมา

การถอนการติดตั้งแอพจะไม่ลบ xHelper และโทรจันออกจากเครื่อง มันจะยังคงอยู่บนอุปกรณ์ของผู้ใช้ต่อไป เพื่อแสดงป๊อปอัปและสแปมแจ้งเตือน

"UNREMOVABLE"

นอกจากนี้แม้ว่าผู้ใช้จะเห็นบริการ xHelper ในส่วนของ Application Manager ในระบบปฏิบัติการ Android คำสั่งการลบจะไม่ทำงาน เนื่องจากโทรจันจะติดตั้งใหม่ทุกครั้งแม้ว่าผู้ใช้จะทำการรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นจากโรงงาน

วิธีที่ xHelper ยังคงอยู่รอดจากการรีเซ็ตโรงงานยังคงเป็นปริศนา อย่างไรก็ตามทั้ง Malwarebytes และ Symantec กล่าวว่า xHelper ไม่ยุ่งเกี่ยวกับแอพระบบ นอกจากนี้ Symantec ยังกล่าวด้วยว่า "ไม่น่าที่ Xhelper จะติดตั้งไว้ล่วงหน้าในอุปกรณ์"

ในบางกรณีแม้ว่าผู้ใช้จะลบบริการ Xhelper แล้วปิดการใช้งานตัวเลือก "ติดตั้งแอพจากแหล่งที่ไม่รู้จัก" การตั้งค่ายังคงเปิดใช้งานตัวเองอีกครั้งและ Xhelper ได้รับการติดตั้งใหม่ในเวลาไม่กี่นาที

ผู้ใช้บางราย รายงานว่าประสบความสำเร็จกับการใช้ Anti Virus บางตัวที่จ่ายเงินซื้อ ในการลบ Xhelper ทิ้ง

และในวันนี้ Symantec กล่าวว่าโทรจันกำลังวิวัฒนาการอย่างต่อเนื่องโดยมีการอัพเดทโค้ดใหม่ๆเป็นประจำ อธิบายเหตุผลว่า ทำไมโซลูชั่นป้องกันไวรัสบางตัวจึงจัดการลบ xHelper ในบางกรณีทิ้งไม่ได้

สิ่งที่ควรทราบคือทั้ง Symantec และ Malwarebytes ได้ออกคำเตือนเกี่ยวกับคุณสมบัติของ xHelper  ในขณะที่โทรจันกำลังมีส่วนร่วมในสแปมและรายได้จากโฆษณา แต่ก็มีคุณสมบัติอื่นๆที่เป็นอันตรายมากกว่า  ทั้งสอง บริษัท กล่าวว่า xHelper สามารถดาวน์โหลดและติดตั้งแอพอื่นๆได้ ซึ่งเป็นฟังก์ชั่นที่ผู้สร้าง xHelper สามารถใช้งานได้ทุกจุดเพื่อปรับใช้ payloads มัลแวร์ระยะที่สองเช่น ransomware , โทรจันธนาคาร , บอท DDoS หรือขโมยรหัสผ่าน

Source : ZD Net
Article By : โลกไอทีวันนี้