23 octobre 2021
Techfu
Smartphones

xHelper : le malware Android enfin débusqué par des chercheurs en sécurité

xHelper malware Android

L’un des premiers réflexes pour se débarrasser des logiciels malveillants sur Android est de réinitialiser l’appareil aux paramètres d’usine. Mais avec le malware xHelper, la démarche n’a jamais porté ses fruits, provoquant l’incompréhension totale des experts en sécurité. Mais après quelques semaines de recherches, le mystère est enfin résolu, et le moins qu’on puisse dire, c’est que le procédé d’infiltration du malware est diablement astucieux.

xHelper s’infiltre dans un dossier caché à la racine

Le malware, connu sous le nom de xHelper, a commencé à sévir sur des smartphones et tablettes Android au début de l’année mais s’est surtout concentré sur les utilisateurs russes. Toutefois, il n’est jamais apparu dans le Play Store puisque le système de sécurité de Google le signalait comme suspect. Ce filtre ne l’a pourtant pas empêché d’infecter des dizaines de milliers d’appareils à travers le monde. En février, Malwarebytes déclarait que xHelper est un logiciel malveillant redoutable et impossible à supprimer. En effet, il peut survivre aux réinitialisations d’usine grâce à un fichier indétectable à l’intérieur d’un dossier caché. Le fichier ré-infecte ensuite l’appareil après chaque réinitialisation, mais les chercheurs n’avaient pas pu déterminer comment le fichier s’y était retrouvé.

Après plusieurs semaines, des chercheurs en sécurité ont enfin réussi à comprendre le processus initié par le malware. Une fois installé, celui-ci obtient un accès aux fichiers racines d’Android, et c’est par ce biais qu’il modifie le logiciel du système afin de mettre en place une porte dérobée par laquelle il peut installer d’autres applications. Nous savons maintenant que l’infection provoquée par Xhelper est le résultat d’un effort collectif avec un cheval de Troie appelé Triada qui se télécharge automatiquement après l’installation du premier.

Une fois installé, Triada manipule la partition système pour ajouter le cadre de réinfection. Il donne également à ces fichiers un statut spécial afin qu’ils ne puissent pas être supprimés, même par d’autres fonctions de bases. Les chercheurs de Kaspersky Labs n’ont même pas pu monter la partition système en mode écriture pour supprimer le malware car Triada modifie d’importantes bibliothèques du système d’exploitation Android.

Des solutions pour s’en débarrasser ?

Il s’agit donc d’une programme très pernicieux, mais il y a quand même de bonnes nouvelles. Il est possible de supprimer complètement le malware avec un simple accès au mode de récupération. Il suffit alors de remplacer les fichiers de bibliothèque modifiés, monter la partition système et supprimer les dossiers de logiciels malveillants. Un autre moyen plus simple est de réinitialiser l’appareil avec une image logicielle officielle qui supprime tous les anciens dossiers système.

Ceci-dit, il est inutile de s’inquiéter outre mesure puisque comme indiqué précédemment, Xhelper ne se propage pas via Google Play. La seule façon d’être infecté est de télécharger des fichiers APK provenant de sites web de téléchargement douteux. De plus, les capacités d’ancrage des fichiers malveillants ne fonctionnent que sous Android 6 et 7 (Marshmallow et Nougat). Les versions plus récentes d’Android bloquent d’ores et déjà xHelper pour toutes modifications du système d’exploitation et l’installation de Triada.

Idéalement pour éviter ce genre de déboires, n’importe quel utilisateur d’un appareil Android se doit de disposer d’une mise à jour de sécurité récente.

Ces articles pourraient vous intéresser

MIUI 12 : voici la liste des smartphones Xiaomi compatibles

Timothée Pardonnet

Les OnePlus Nord N10 et N100 pourraient sortir dès la fin du mois d’octobre

Timothée Pardonnet

Les Realme 7 et Realme 7 Pro ont été présentés officiellement !

Timothée Pardonnet

Leave a Comment

* En utilisant ce formulaire, vous acceptez que votre adresse mail, votre pseudo et votre message soient stockés sur le site. L'adresse mail restera privée et confidentielle.