Perangkat lunak jahat yang terinstal ketika pengguna memasang satu aplikasi itu bisa me-reinstall sendiri meski sudah dicopot oleh pengguna dan ia didesain tetap tersembunyi serta tidak muncul di sistem launcher (daftar aplikasi).
Di forum-forum online, banyak pengguna mendiskusikan soal XHelper, mengeluhkan tentang iklan pop-up random yang muncul setiap saat.
Mereka juga mengatakan bahwa malware tersebut tetap muncul di perangkat bahkan setelah mereka mencopotnya (uninstall) secara manual.
Perusahaan keamanan Symantec, dalam blog resminya mengatakan bahwa XHelper tidak menyediakan antarmuka pengguna reguler. Malware ini merupakan sebuah komponen aplikasi, artinya ia tidak muncul dalam daftar di launcher aplikasi perangkat.
Itulah yang membuat malware ini mudah menjalankan aktivitas-aktivitas jahatnya secara tersembunyi. Sejauh ini malware terutama menginfeksi pengguna perangkat Android di India, AS, dan Rusia, menurut kajian yang disampaikan insiyur Symantec, May Ying Tee dan Tommy Dong, dikutip Kamis.
Setelah memperoleh pijakan pada perangkat korban, Xhelper mulai mengeksekusi fungsionalitas intinya yang berbahaya dengan mendekripsi muatan memori berbahaya yang tertanam dalam paketnya.
Muatan berbahaya kemudian menghubungkan ke server perintah dan kontrol (C&C) penyerang dan menunggu perintah. Untuk mencegah komunikasi ini dicegat, sertifikat SSL digunakan untuk semua komunikasi antara perangkat korban dan server C&C.
Setelah koneksi berhasil ke server C&C, muatan tambahan seperti dropper, clickers, dan rootkit, dapat diunduh ke perangkat yang dikompromikan.
“Kami percaya kumpulan malware yang disimpan di server C&C memiliki fungsi yang luas dan beragam, memberikan penyerang beberapa opsi, termasuk pencurian data atau bahkan pengambilalihan lengkap perangkat,” kata Symantec.
Symantec mengaku pertama kali melihat aplikasi XHelper pada Maret 2019. Saat itu, kode malware relatif sederhana dan fungsi utamanya adalah mengarahkan pengguna mengunjungi halaman iklan untuk tujuan monetisasi.
Bagaimana menghindarinya?
Symantec tidak menemukan sampel untuk dianalisis di Google Play Store mengenai sumber infeksi XHelper. Ada kemungkinan bahwa malware XHelper terunduh oleh pengguna dari sumber yang tidak dikenal, meskipun itu bukan satu-satunya saluran distribusi.
Aplikasi berbahaya itu ternyata lebih sering diinstal pada merek ponsel tertentu, sehingga diyakini bahwa penyerang mungkin berfokus pada merek tertentu.
Untuk menghindar dari terinfeksi malware ini, Symantec memberikan tips sebagai berikut:
* Selalu perbarui perangkat lunak perangkat
* Jangan mengunduh aplikasi dari situs yang tidak dikenal
* Perhatikan dengan seksama permintaan izin (permissions) yang diminta aplikasi
* Instal aplikasi keamanan seluler yang sesuai untuk melindungi perangkat
* Sering-seringlah membuat cadangan data penting.
Artikel ini dikutip dari Antaranews.com