xHelper è un #rootkit, #informationStealer e #backdoor che colpisce i dispositivi #Android.
Oltre a rubare informazioni apre una backdoor che consente il controllo remoto del device infettato da parte del #C2 ma la cosa che lo ha reso tristemente famoso è la sua capacità di persistenza.
Quando si parla di persistenza si intende la capacità di un malware di resistere al reboot, ebbene xHelper non solo resiste al reboot ma anche alla reistallazione del sistema operativo.
In pratica questo #malware una volta infettato il sistema, utilizzando meccanismi di #privilegeEscalation ottiene l'accesso al device come #Root, va a modificare la libreria di sistema libc.so e la rende non rescrivibile.
Questo fa in maniera tale che la reinstallazione del SO non potendo sostituire libc.so, la mantiene, consentendo ad xHelper di rimanere in persistenza anche dopo la reinstallazione del SO.
Nel 2020 ha infettato oltre 500.000 sistemi.
Oltre a rubare informazioni apre una backdoor che consente il controllo remoto del device infettato da parte del #C2 ma la cosa che lo ha reso tristemente famoso è la sua capacità di persistenza.
Quando si parla di persistenza si intende la capacità di un malware di resistere al reboot, ebbene xHelper non solo resiste al reboot ma anche alla reistallazione del sistema operativo.
In pratica questo #malware una volta infettato il sistema, utilizzando meccanismi di #privilegeEscalation ottiene l'accesso al device come #Root, va a modificare la libreria di sistema libc.so e la rende non rescrivibile.
Questo fa in maniera tale che la reinstallazione del SO non potendo sostituire libc.so, la mantiene, consentendo ad xHelper di rimanere in persistenza anche dopo la reinstallazione del SO.
Nel 2020 ha infettato oltre 500.000 sistemi.