อุปกรณ์สื่อสารจำนวนมาก ได้รับผลกระทบจากมัลแวร์(Malware)ที่ติดตั้งตัวมันเอง

อุปกรณ์สื่อสารระบบปฏิบัติการแอนดรอยด์(Android) กว่า 45,000 เครื่องได้รับผลกระทบจาก มัลแวร์ ชื่อว่า Xhelper ตั้งแต่เดือนมีนาคม
ได้มีกระแสจากอุปกรณ์จำนวนมากที่ได้รับผลกระทบจากแอพที่ประสงค์ร้าย(malicious app) ซึ่งสามารถหลบซ่อนจาก launcherของระบบปฏิบัติการที่ดาวน์โหลดมัลแวร์และสามารถติดตั้งตัวเองใหม่หลังจากลบออกไปแล้ว

Xhelper คือมัลแวร์ที่สามารถก่ออาชญากรรมทางไซเบอร์ได้(persistent malware)ที่อยู่ในอุปกรณ์สื่อสารระบบแอนดรอยด์ได้แม้จะถอนการติดตั้งโดยผู้ใช้งานไปแล้ว ซึ่งนักวิจัยได้ออกมาเตือนในเรื่องนี้ เพราะมีอย่างน้อย 45,000 อุปกรณ์ที่ได้รับผลกระทบตั้งแต่การแพร่ระบาดของMalware เกิดขึ้นตั้งแต่เดือนมีนาคม

กลไกที่ใช้สำหรับการโจมตีนั้นมีการใช้pool ของมัลแวร์ที่ถูกติดตั้งอยู่ในเซิฟเวอร์ C&C (Command and Control)ซึ่งหมายถึงอาชญากรไซเบอร์ที่อยู่เบื้องหลังมัลแวร์Xhelper สามารถจัดการกับฟังชั่นของระบบได้เป็นวงกว้าง ซึ่งจะทำให้ข้อมูลในอุปกรณ์สื่อสารจำนวนมากที่จะถูกโจรกรรมรวมถึงถูกยึดครองโดยสมบูรณ์

โค้ดของ Xhelper นั้นดูเรียบง่ายเมื่อมองดูทั่วไปด้วยฟังชั่นหลักคือศูนย์กลางที่จะนำผู้ใช้งานไปยังเพจโฆษณาเพื่อรับรายได้จากยอดคลิ๊กของผู้ใช้งาน

ซึ่งมัลแวร์ในปัจจุบันเติบโตและมีความซับซ้อนมากขึ้น อย่างไรก็ตามด้วยความสามารถในการเชื่อมต่อจากเซิฟเวอร์ C&C ในตอนนนี้ มัลแวร์ดังกล่าวจึงปรากฏขึ้นในรูปแบบของข้อมูลเข้ารหัส(encrypted payload) ซึ่งเคยมีการพยายามที่จะหลบการตรวจจับของมัลแวร์

“เรามีความเชื่อมั่นอย่างยิ่งว่าที่มาของโค้ดมัลแวร์นั้นยังอยู่ในระหว่างการพัฒนา”กล่าวโดย May Ying Tee วิศวกรซอฟแวร์ของบริษัทซอฟแวร์สัญชาติอเมริกาSymantec

“หนึ่งในตัวอย่างคือ เราได้ตรวจพบระดับและตัวแปรคงที่มากมาย(classes and constant variables) ของผู้ให้บริการอินเตอร์เน็ตที่ชื่อว่า‘Jio’
“ระดับที่กล่าวถึงเหล่านี้ไม่ได้มีการดำเนินการในตอนนี้แต่เราสงสัยว่าผู้โจมตีอาจจะวางแผนที่มุ่งเป้าโจมตีไปที่ผู้ใช้ของJio ในอนาคต (บริษัท Jio Infocomm จำกัด หรือเป็นที่รู้จักในชื่อ Jio คือผู้ให้บริการเครือข่าย 4Gที่ใหญ่ที่สุดในอินเดีย ด้วยจำนวนผู้ใช้งานกว่า 300ล้านคน)

Xhelper ไม่ได้มีระบบ user interface (UI)ที่เป็นที่คุ้นเคยต่อผู้ใช้เท่าไรและตรงกันข้ามกลับมีส่วนประกอบของแอพลิเคชั่นซึ่งหมายถึงมันจะไม่ถูกตรวจจับโดยApp launcher ในอุปกรณ์ที่ถูกแพร่ Malware ไปแล้ว และมันยังสามารถถูกเปิดใช้งานโดยผู้ใช้โดยที่ไม่แสดงไอคอนของแอพอีกด้วย
อีกอย่าง แอพจะถูกเปิดจากการเชื่อมต่อผ่านอุปกรณ์ภายนอกเป็นส่วนใหญ่ ยกตัวอย่างเช่นเมื่อทำการเชื่อมต่ออุปกรณ์กับตัวจ่ายพลังงานหากว่ามีการรีบูทอุปกรณ์หรือเมื่อแอพได้ถูกหรือไม่ถูกติดตั้งก็ตาม

เมื่อแอพถูกเปิดขึ้น Xhelper จะทำการลงทะเบียนตัวเองในส่วนการแสดงผลบนหน้าจอ (foreground service) ซึ่งมีโอกาสน้อยที่จะถูกปิดเมื่อผู้ใช้งานพยายามจะบันทึกลงในหน่วยความจำ ถ้าหากว่าผู้ใช้งานปิดการทำงานของแอพมันก็จะเปิดการใช้งานขึ้นมาใหม่

ซึ่งในขั้นตอนนี้ Xhelper จะทำการดาวน์โหลดและถอดรหัสของระบบ payloadที่เป็นอันตรายซึ่งจะอนุญาตให้payload นี้เชื่อมต่อกับเซิฟเวอร์C&Cก่อนที่จะรอคำสั่งของผู้ใช้งานเสียอีก นอกจากนี้ payloadอาจจะถูกดาวน์โหลดออกมาพร้อมกับโปรแกรมที่อาจซ่อนมัลแวร์เอาไว้แล้วถูกโหลดเข้าไปในอุปกรณ์ของผู้ใช้งาน

อยากตัวอย่างของนักวิเคราะห์, นักวิจัยได้ค้นพบว่า Xhelper ไม่ได้มาจากGoogle Play Store และมันถูกติดตั้งอยู่บ่อยครั้งในมือถือเกือบทุกแบรนด์ จึงไม่มีคำอธิบายว่ามัลแวร์จะมีการติดตั้งในอุปกรณ์เมื่อไร
และนี่คือเหตุผลว่าทำไม Xhelper จึงติดตั้งตัวเองอยู่ตลอดซึ่งส่วนใหญ่แอพที่ประสงค์ร้ายไม่ได้เป็นแอพภายในระบบทั่วไป ซึ่งหมายถึงว่าแอพอาจจะมาจากแหล่งอื่นที่มักจะถูกดาวน์โหลดมาพร้อมกับมัลแวร์และนี่คือสิ่งที่นักวิจัยจากSymactec กำลังศึกษาอยู่