Skip to main content

▷ Xhelper Malware greift Android-Handys an

Eine unsichtbare Malware ist für Android-Handys im Umlauf: die schädliche App Xhelper greift die Geräte an.

Xhelper Probleme

Wie in diversen Foren zu lesen ist, gibt es folgende Probleme:

  • die App läßt sich nicht deinstallieren, sondern installiert sich einfach immer wieder selbst
  • die Einstellung „Apps aus unbekannten Quellen installieren erlauben“ schaltet sich selbst an
  • selbst die Rückstellung des Geräts auf „Werkseinstellungen“ löscht die App nicht
  • Virenschutz- und Malware-Programme erkennen die Schadsoftware nicht

Wo kommt die App her?

  1. Vorinstalliert auf Neugeräten
  2. Download beim Besuch von infizierten Webseiten im Netz

Vorinstalliert auf Neu-Geräten

Vorinstalliert ist die Malware vor allem auf Geräten aus China. Hier sollen Billig-Handys von nicht namhaften Herstellern betroffen sein. Wie Symantec schreibt, sind die Apps auf den Neugeräten in Android vorinstalliert, ohne systemrelevant zu sein. Weil es auch unwahrscheinlich ist, daß die App eine System-App ist, deutet es eher darauf hin, daß eine andere – schädlich umfunktionierte – System-App am andauernden Downloaden der Malware-App beteiligt ist, was Symantec gerade untersucht um genaueres herauszufinden.

Download über Besuch von Webseiten

Es scheint, daß Xhelper sich durch den Besuch von bestimmten Webseiten selbst installiert, denn keines der von Symantec analysierten Beispiele war im Google Play Store verfügbar. Das führt zu dem Schluß, daß der Download nur über sog. „Third-Parties“ also über infizierte Webseiten auf das Handy kommt.

Wie funktioniert Xhelper?

Xhelper gibt keine normale App-Anzeige in der Bedienoberfläche aus. Die Schadsoftware ist eine App-Komponente, was bedeutet, daß sie in der normalen App-Übersicht unsichtbar ist. Für die Malware ist es so einfacher, die schadhaften Aktivitäten zu verstecken.

Die App kann dadurch auch nicht manuell gestartet werden, weil es kein App-Icon gibt. Stattdessen startet die App ohne Einwirkung des Handy-Besitzers bei bestimmten Ereignissen, wie z.B. dem Einstecken oder Entfernen des Ladekabels, Neustart des Geräts oder wenn eine andere App installiert oder deinstalliert wird.

Einmal gestartet, registriert sich die Schadsoftware als Vordergrund-Dienst und vermeidet so ausgeschaltet zu werden, selbst wenn der Speicher knapp wird. Zum Weiterarbeiten startet sich die App selbst neu, wenn der Service gestoppt wurde.

Sobald die Software sich erfolgreich im Handy eingenistet hat, startet sie ihre schädliche Funktionalität, indem in den Speicher die mitgebrachte schadhafte Ladung entpackt wird. Die so installierte Software nimmt dann Kontakt mit dem Command & Control Server (C&C) des Angreifers über die Internetverbindung auf und wartet auf Befehle. Um zu vermeiden, daß diese Kommunikation abgefangen wird, wird sog. „SSL certificate pinning“ als Verschlüsselung zwischen dem infizierten Gerät und der Kommandozentrale (C&C) genutzt.

Das kann die App: Werbe-Einblendung, Datenklau, Übernahme des Geräts

Sobald eine erfolgreiche Internetverbindung mit dem C&C Server besteht, lädt die App eigenständig weitere Bestandteile auf das gehackte Handy herunter. Laut den Technikern von Symantec verfügt die Malware über ein riesiges Paket von Schadsoftware-Optionen: von der einfachen Ausgabe von Werbung über Datenklau bis hin zur kompletten Übernahme des Geräts durch die Angreifer.

Die App wird aktiv weiterentwickelt

Wie die Techniker von TheHackerNews und Symantec schreiben, ist die Software bereits seit März 2019 bekannt, war aber vorher noch nicht so ausgereift wie jetzt. Vorher war der Code relativ einfach und die Hauptfunktion war eine Umleitung der Handybesitzer auf werbefinanzierte Webseiten zum Geld machen. Aber der Code hat sich mit den Monaten geändert. Am Anfang war die Kontaktaufnahme mit dem C&C Server noch direkt in der Schadsoftware enthalten, aber jetzt versteckt sich die Kontaktaufnahme hinter verschlüsselter Ladung, um zu vermeiden, daß die Signatur augedeckt wird. Die älteren Versionen der Malware enthielten noch leere Kategorien, so Symantec, aber jetzt sind alle Funktionen voll aktiv. Wie Symantec betont, wurden die Angriffsmöglichkeiten von Xhelper in der kurzen Zeit dramatisch ausgebaut. Symantec glaubt auch, daß der Quellcode der Schadsoftware aktiv weiter ausgebaut wird.

Neue Angriffsziele im Quellcode gefunden

Zum Beispiel hat das Unternehmen herausgefunden, daß manche Kategorien eine konstante Variable namens „Jio“ enthalten, was wie eine Vorbereitung für eine zukünftige Ausspionierung von Jio-Nutzern ausschaut. Jio hat auch schon reagiert und mit Norton Security eine Jio-Security-App zur Verfügung gestellt, die vor dieser Malware schützen soll.

Wer wird angegriffen?

In den letzten 6 Monaten wurden laut Symantec mindestens 45.000 Geräte mit der Malware infiziert. Ziel der Software sind aktuell hauptsächlich Nutzer aus Indien, Russland und die USA.

Wie kann man sich schützen?

Obwohl manche Antivirus-Produkte die Xhelper Malware inzwischen aufdecken sollen, sind sie noch nicht in der Lage die App dauerhaft zu löschen und dabei selbständig startende Neu-Installation der App zu blockieren.

Weil die Quelle der Schadsoftware immer noch unklar ist, sollten Android-Nutzer besonders vorsichtig sein:

  • Gerätesoftware und Apps aktualisieren
  • Keine Apps aus unbekannten Quellen runterladen oder zulassen
  • Sehr gut aufpassen, welche Anfragen Apps für Berechtigungen stellen und was Apps erlaubt wird/ist
  • Daten sichern
  • Eine gute Antivirus-App auf dem Handy installieren, die speziell gegen diese Malware und ähnliche Angriffe schützt

Weitere Beiträge zu dem Thema: 5 Tipps für Handy-Sicherheit



Ähnliche Beiträge