Mới đây, các nhà nghiên cứu tại Kaspersky Labs đã phát hiện ra hoạt động vô cùng phức tạp của xHelper, một loại malware mới tấn công những chiếc máy chạy Android, có khả năng tồn tại ngay cả sau khi thực hiện factory reset đưa máy trở về thiết lập ban đầu.
Về cơ bản, xHelper hay những biến thể của nó, sẽ tự cài đặt vào phân vùng hệ thống (system partition) của điện thoại Android sau khi giành được quyền root privileges. Thậm chí, mã độc còn có khả năng ép hệ thống thay đổi để việc gỡ bỏ malware này khỏi điện thoại gặp nhiều khó khăn hơn.
Vấn đề là system partition thường không cho phép ghi đè lên. Thông thường, system partition chỉ cấp quyền “read-only” cho người dùng nên việc gỡ ứng dụng có chứa malware chưa phải là đã giải quyết được vấn đề. Rắc rối hơn, malware này còn được những file dữ liệu mà nó đã ghi vào phân vùng hệ thống cấp cho quyền lớn hơn, ngay cả root máy cũng không dễ gì giải quyết được.
Những người viết ra xHelper còn cung cấp cho mã độc này tính năng cực kỳ tai quái cho phép thay đổi thư viện hệ thống libc của chính hệ điều hành Android, vô hiệu hóa việc chuyển đổi phân vùng hệ thống từ read-only sang write mode, thậm chí là tự động gỡ luôn những ứng dụng máy root.
Để gỡ được xHelper, người dùng sẽ phải recovery máy, hoặc flash lại thiết bị bằng bản cài đặt gốc hay thay cả system component trong máy.
Tuy nhiên, phần mềm độc hại này tải về một bộ rootkit để chiếm quyền điều khiển máy. Và rootkit này chủ yếu lây nhiễm với các phiên bản Android cũ như 6 và 7, trên một số loại “smartphone fake” của Trung Quốc. Các nhà nghiên cứu bảo mật từng phát hiện malware trong cả bản cài đặt gốc của hãng điện thoại nên để không phải chung sống với xHelper người dùng tìm bản ROM uy tín hơn hoặc mua điện thoại mới!