Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Xhelper, un malware Android capable de se réinstaller seulCrédits : juniorbeep/iStock

Symantec et Malwarebytes ont averti récemment d’une menace grandissante, en tout cas en Inde, aux États-Unis et en Russie.

Nommé Xhelper, le malware a des origines floues. Symantec pense à des applications infectées depuis des sources tierces d’installation, MalwareBytes affirme qu’il est distribué par des sites de jeux attirant l’utilisateur vers l’action qui déclenchera la récupération.

La charge virale s’installe comme service en tâche de fond et se met aux ordres d’un serveur C&C (command and control). De nombreux autres outils peuvent alors être télécharger pour s’adapter au contexte ou aux envies des responsables.

Selon Symantec, environ 45 000 appareils ont déjà été infectés. Le malware ne fait pour l’instant pas trop de dégâts : il se contente d’afficher de la publicité. Mais au vu de son fonctionnement (son retrait complet semble impossible), ses auteurs pourraient être tentés par des actions plus agressives, comme le vol de données personnelles.

Les recommandations des sociétés de sécurité sont finalement toujours les mêmes : toujours télécharger les applications depuis des sources sûres, comme le Play Store de Google (même si ce n’est jamais une garantie absolue), et être très prudent quand on visite un site vers lequel on a été redirigé.

24 commentaires
Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 04/11/19 à 09:31:41

pour plus de détails: l'appli s'installe sans mettre d'icone dans la liste des applis (un peu comme certaines applis de claviers, ou autres qui n'ont pas de GUI propre) et installe en plus un service qui s'occupe de réinstaller l'appli si elle était désinstallée depuis le panneau de configuration des applications. un factory reset "peut" en venir à bout mais c'est au dépends des données et applis user...
Il semble que l'équipe derrière le virus soit de plus très active car de nombreuses modifications du code du virus ont été découvertes au fur et à mesure des analyses.

Avatar de Salamandar Abonné
Avatar de SalamandarSalamandar- 04/11/19 à 09:59:09

Pas mal d'articles font état de l'impossibilité de virer le virus, même avec un factory reset.https://www.zdnet.com/article/new-unremovable-xhelper-malware-has-infected-45000...

Avatar de foilivier Abonné
Avatar de foilivierfoilivier- 04/11/19 à 10:02:59

Il doit s'installer sur la partition système, qui n'est pas réinitialisée au factory reset.
Ce qui impliquerait qu'il utilise une faille pour s'octroyer des droits root ?
Si c'est le cas, la seule alternative est de reflasher la ROM.

Il me semble que certaines applications (Cerberus par exemple) utilisent déjà ce système.

 

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 04/11/19 à 12:16:05

ouais, c'est ce que j'ai cru comprendre en fouillant un peu plus mais je trouve pas le détail de comment il s'y prend.
"How xHelper survives factory resets is still a mystery; however, both Malwarebytes and Symantec said xHelper doesn't tamper with system services system apps"

donc il se fait passer pour un service système mais n'en est pas vraiment un?

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 04/11/19 à 12:17:09

foilivier a écrit :

Si c'est le cas, la seule alternative est de reflasher la ROM.

ce qui n'est pas à la portée de n'importe qui, et n'est pas sans risque.

Avatar de Kazer2.0 Abonné
Avatar de Kazer2.0Kazer2.0- 04/11/19 à 12:37:01

C'est devenu pratiquement impossible de bricker totalement un téléphone jusqu'au point où tu n'as plus de solution en 2019, même en le faisant exprès.

Je le sais, j'ai réussi à bricker mon Xiaomi jusqu'au point où le téléphone ne réagit plus du tout (plus d'écran, plus d'indication de charge, plus de vibration, plus de led, une brique quoi), parce que je m'étais gourré de firmwire (mauvais modèle).
J'ai sacrifié un câble USB pour mettre le téléphone en mode DeepFlash (faut dénuder le câble USB et faire un court-circuit précis pendant 10 secondes) et envoyer la rom en aveugle, téléphone débrické.

Le risque est devenu ultra faible et les tutos sont suffisamment bon pour que n'importe qui qui sait lire des tutos étapes par étapes puissent le faire lui-même.

Et ça c'est dans le cas où tu sors des sentiers battues et que tu installes un custom recovery et une rom custom, la plupart des constructeurs te mettent maintenant un outil à disposition pour flasher leurs ROMs si nécessaire (pas tous malheureusement).

Donc oui, tu as un risque, mais de l'ordre de 0,0001 % (j'en sais quelques choses, le premier téléphone que j'ai flashé été le Samsung E900, et là tu avais un vrai risque :D )

Édité par Kazer2.0 le 04/11/2019 à 12:37
Avatar de ErGo_404 Abonné
Avatar de ErGo_404ErGo_404- 04/11/19 à 12:51:00

Donc tu confirmes que c'est pas à la portée de tout le monde, très loin de là même puisqu'il faut déjà savoir que l'opération est possible avant de penser à chercher un tuto, mais en plus qu'elle n'est pas sans risque (faire un court circuit précis sur ton câble USB même si les circuits aujourd'hui sont protégés, j'appelle pas ça une bidouille anodine non plus).

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 04/11/19 à 12:51:02

oui je sais bien, le risque n'est pas technique mais humain: tu sautes une ligne dans le tuto, tu lis pas jusqu'au bout, tu te trompes de firmware ( :transpi: ) , tu te plantes de partition, tu débranche le câble avant la fin... le problème c'est l'interface chaise clavier, pas le logiciel, mais c'est quand même une opération assez délicate dans le sens où si tu te plantes, ton téléphone peut devenir inutilisable plus ou moins définitivement...

Avatar de k0rnmuz3 Abonné
Avatar de k0rnmuz3k0rnmuz3- 04/11/19 à 13:17:34

Le coup de dénuder un fil pour court-circuiter c'est dans le cas où tu as foiré le flash standard, sinon il s'agit "juste" de téléchargé un outil, une rom, brancher le téléphone sur le PC, appuyer sur "flasher" (je schématise, mais c'est pas loin de ça).

Comme le dit Minikea, le problème étant que sur ces quelques étapes, il est assez simple de se tromper d'outil ou de ROM et de se retrouver avec un tel en pls...

Avatar de Kazer2.0 Abonné
Avatar de Kazer2.0Kazer2.0- 04/11/19 à 13:19:19

C'est parce que j'ai pas de patience, donc c'est un fix ghetto chez moi parce que je voulais pas attendre la livraison, mais si tu veux le faire proprement : DeepFlash Cable

Et je parle d'un cas ultra spécifique, avec un firmwire spécifique pour fix un problème de GPS spécifique que j'avais, le cas qui concerne moins d'1 % de ceux qui ont un smartphone.

Chez Xiaomi ils te file l'outil de flash et la rom en mode clickodrome, t'as même pas besoin de suivre un tuto, et je suis sûr que d'autre constructeur le font mieux aussi avec un outil qui cherche lui-même la bonne ROM.

Mon exemple est plus pour illustrer que même en faisant vraiment n'importe quoi, tu t'en sors quand même en 2019 or la solution pour le problème ici présent serait un simple outil fournit par le constructeur qui reflash la rom, même pas besoin de tuto (si le constructeur fait le suivi de ses téléphones évidemment). Très, très loin de la manipulation que j'ai dû faire.

Édité par Kazer2.0 le 04/11/2019 à 13:20
Il n'est plus possible de commenter cette actualité.
Page 1 / 3