2019年10月30日 12時35分 セキュリティ

Androidで工場出荷時の状態に戻しても撃退不可なマルウェア「xHelper」が発見される

by Blogtrepreneur



アンチウイルスアプリを開発しているSymantecが「削除が困難なマルウェアが半年で4万5000台以上のAndroid端末に感染しているのが確認されました」と発表しました。「xHelper」と名付けられたこのマルウェアは、スマートフォンを工場出荷時の状態に戻しても、すぐに再インストールされてしまい、記事作成現在のところ防ぐ手だては見つかっていないとのことです。



Xhelper: Persistent Android dropper app infects 45K devices in past 6 months | Symantec Blogs

https://www.symantec.com/blogs/threat-intelligence/xhelper-android-malware



Mobile Menace Monday: Android Trojan raises xHelper Malwarebytes Labs | Malwarebytes Labs

https://blog.malwarebytes.com/android/2019/08/mobile-menace-monday-android-trojan-raises-xhelper/



New 'unremovable' xHelper malware has infected 45,000 Android devices | ZDNet

https://www.zdnet.com/article/new-unremovable-xhelper-malware-has-infected-45000-android-devices/



A nearly impossible to remove Android malware has infected 45,000 devices | Android Central

https://www.androidcentral.com/nearly-impossible-remove-android-malware-has-infected-45000-devices



xHelperが発見されたのは2019年3月のことです。当初はあまり注目されていませんでしたが、その後、爆発的な感染の拡大が確認されるようになり、2019年8月にはアンチウイルスアプリMalwarebytes SecurityをリリースしているMalwarebytesが「3万3000台の端末が感染している」と発表。2019年10月29日にはSymantecにより4万5000台の端末が感染していることが確認されました。



Malwarebytesによると、xHelperはGoogle Playでのダウンロード数が10回を超えないような、非常にマイナーなパズルゲームアプリから発見されたとのこと。また、Symantecは「Google Playからは発見されなかったタイプのサンプルもあるため、未知の感染源があると思われます」と述べて、ユーザーによる提供元不明のアプリのダウンロードが主な原因だとの見方を示しました。





Android端末がxHelperに感染すると、広告の通知が表示されるようになるものの、特に大きな被害をもたらすわけではないとのこと。





しかし、xHelperの特筆すべき性質は「削除がほぼ不可能」な点にあります。端末からxHelperをアンインストールしても、すぐに再インストールされてしまうばかりか、端末を工場出荷時の状態に戻しても、数分後には再インストールされてしまいます。Symantecは「xHelperがAndroidのシステムアプリを改ざんしているわけではなく、端末そのものにプリインストールされている形跡もない」ことを確認していますが、端末をリセットしても毎回再インストールされてしまう原因については「不明」だとしています。



by geralt



しかも、SymantecはxHelperのソースコードからxHelperがまだ開発中であることを示すコードを発見し、現在進行形で進化している最中だということを突き止めました。3月に発見された当初は広告を表示する機能しか持たなかったxHelperですが、徐々に機能が増えており、2019年10月の時点ではマルウェアに感染した端末にコマンドを送信する「C＆Cサーバー」への接続機能を獲得しているとのこと。これにより、将来的にはデータの窃取や端末の乗っ取りなどが可能になると見られています。



8月にxHelperについて報告したMalwarebytesは「xHelperはニューヨークとテキサスのIPアドレスにホストされており、アメリカのユーザーを標的としたマルウェアといっても過言ではないでしょう」と述べています。一方、10月にxHelperを解析したSymantecは「xHelperの開発中のコードにはインド最大手の4GキャリアJioと同じ名前のタグが付いており、攻撃者がJioユーザーを標的にした攻撃を計画している可能性は高いと思われます」と述べて、インドにいる3億人以上のユーザーが潜在的な標的になっているとの見方を示しました。



SymantecはxHelperへの対策として、次のような予防措置を推奨しました。



・OSやアプリを最新の状態に保つ。

・信頼できない提供元からアプリを入手しない。

・アプリが要求する許可に細心の注意を払う。

・「ノートン モバイルセキュリティ」や「SEP Mobile」などの適切なモバイルセキュリティアプリを導入する。

・重要なデータはこまめにバックアップを取る。