Ci sono diversi metodi per sbarazzarsi di un malware su uno smartphone, così su come su qualsiasi altro sistema. Se nessuno funziona si può provare con un “factory reset”, o format riparatore che dir si voglia. Alcuni mesi fa è stato scoperto su Android un malware che sopravvive anche al ripristino di fabbrica, tuttavia sono rimasti dubbi sul suo funzionamento fino ad oggi.
Stiamo parlando di xHelper, comparso sui primi dispositivi Android all’inizio di quest’anno con infezioni concentrate principalmente in Russia. Il malware non è stato diffuso attraverso Google Play Store o altri store di app ritenuti affidabili, che avrebbero subito rivelato l’app come sospetta e ne avrebbero inibito la pubblicazione. Il funzionamento di xHelper è comunque molto “furbo”: una volta installato su un dispositivo, il malware tenta di ottenere l’accesso root per avere la possibilità di modificare parti sensibili del sistema operativo impostando una backdoor attraverso cui installare codice di ogni tipo.
xHelper, il malware “invincibile”
Qualche mese fa l’azienda di sicurezza Malwarebytes aveva confermato che xHelper potrebbe essere capace di sopravvivere anche a un factory reset grazie a un file non rilevabile all’interno di una cartella nascosta. Il file reinfetterebbe il dispositivo dopo ogni ripristino, ma i ricercatori non erano in grado di capire come facesse a ricomparire per eseguire il codice malevolo. In base alle indagini pubblicate da Igor Golovin di Kaspersky Lab e riportate da Ars Technica, adesso sappiamo che xHelper rimane latente sullo smartphone grazie a un trojan chiamato Triada.

Triada, scrive la fonte, ottiene i permessi di root dal dispositivo e li usa per installare una serie di file malevoli all’interno della partizione di sistema, che non viene modificata durante i ripristini canonici. Ci riesce rimontando la partizione di sistema in modalità “write”, per poi darle un attributo “immutable” in modo da impedirne una futura modifica o cancellazione, anche dagli utenti con i privilegi più elevati. L’attributo può comunque essere rimosso attraverso il comando chattr. Un altro file effettua invece chiamate verso i file della cartella /system/xbin, in modo da eseguire il malware ogni volta che il dispositivo viene riavviato.
Proprio per la natura articolata del malware Golovin definisce l’infezione come “unkillable”, invincibile o più letteralmente che non può essere uccisa. Il tutto per un’infezione che può insediarsi sul dispositivo in maniera piuttosto semplice, eseguendo un’app malevola opportunamente modificata. In realtà qualche buona notizia c’è e, sebbene il malware sia invincibile con i mezzi tradizionali, può essere sradicato dal dispositivo Android infetto con una procedura certosina.
Come è possibile rimuovere xHelper su uno smartphone infetto
È possibile ad esempio rimuoverlo se si ha l’accesso alla Recovery Mode dello smartphone, e da lì si possono modificare i file della libreria coinvolta, montare la partizione di sistema ed eliminare le cartelle utilizzate dal malware. Oppure, in maniera più semplice, si può installare sul dispositivo un’immagine ufficiale che cancella tutte le vecchie cartelle di sistema.
C’è da preoccuparsi? A nostro avviso no, soprattutto per chi ha un dispositivo aggiornato con le ultime versioni di Android. L’unico modo per essere infettati è installare un APK contraffatto proveniente da fonti terze la cui affidabilità non è comprovata. Inoltre, le funzionalità di rooting di xHelper e Triada funzionano solo su Android 6.0 Marshmallow e Android 7.0 Nougat. Le versioni più recenti di Android non consentono a xHelper di apportare modifiche al sistema operativo e installare Triada, risultando così del tutto invulnerabili all’attacco specifico di questo malware.