به گزارش کارگروه امنیت سایبربان؛ بدافزار ژلپر (Xhelper) اخیراً حملات جدیدی علیه دستگاههای اندروید آغاز کرده و از فروشگاه گوگل پلی برای آلوده سازی مجدد دستگاههای اندروید بهره گرفته است.
این بدافزار که بهصورت فایلی پنهان روی دستگاههای آلوده نصب میشود قادر است حتی پس از حذف شدن توسط کاربران یا انجام تنظیمات کارخانه خود را مجدداً نصب کند.
ژلپر نخستین بار در ماه مارس 2019 شناسایی شد و در آن زمان عملکردی نسبتاً ساده داشته و از صفحات تبلیغاتی بهمنظور کسب درآمد بهرهبرداری میکرد.
از آن زمان تاکنون بسیاری از نرمافزارهای آنتیویروس قابلیت شناسایی ژلپر را پیداکردهاند، اگرچه بهراحتی نمیتوانند از شر این بدافزار خلاص شوند.
به گفته کارشناسان شرکت امنیت سایبری «Malwarebytes»، ژلپر در حملات جدید خود از فروشگاه گوگل پلی جهت آلوده سازی مجدد پس از راهاندازی مجدد دستگاه یا پاکسازی آن با نرمافزارهای آنتیویروس بهره میگیرد.
این بدافزار بهگونهای عمل میکند که به نظر میرسد منشأ آلودگی گوگل پلی است.
محققان این شرکت در خصوص چگونگی حذف این بدافزار از دستگاههای اندروید به کاربران توصیه کردهاند:
- ابتدا نرمافزار Malwarebytes برای اندروید را دانلود و نصب کنند.
- یک ابزار مدیریت فایل (ASTRO) از گوگلپلی نصب کنند که قابلیت جستجو در فایلها و فهرستها را داشته باشد.
- گوگل پلی را بهطور موقت غیرفعال سازند تا از آلودگی مجدد جلوگیری کنند. برای این کار میتوانند به بخش Settings > Apps > Google Play Store رفته و دکمه Disable را کلیک کنند.
- با استفاده از نرمافزار Malwarebytes گوشی خود را اسکن کنند تا برنامههایی را که ژلپر پشت نقاب آنها مخفیشده است، شناسایی کنند.
- باید برنامههایی حذف شوند که در اسامی آنها کلمات fireway ،xhelper و Settings نمایش داده شود. چنانچه دو برنامه Settings نمایش داده شود، باید حذف گردد.
- ابزار مدیریت فایل را بازکرده و هر چیزی را که با com.mufc. شروع میشود را جستجو کنند. چنانچه چیزی یافت شد تاریخ و زمان آخرین تغییرات را یادداشت کنند. نحوه مرتبسازی در مدیریت فایل باید بر اساس تاریخ باشد.
- هر چیزی که با com.mufc. شروعشده و هر چیزی که در همان تاریخ ثبتشده باشد بهجز فهرستهای اصلی همچون Download را باید حذف کنند.
- گوگل پلی را مجدداً فعال کنند.
