Attention à ce malware Android persistant qui survit même aux restaurations d'usine

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 13 février 2020 à 18h14

Connu sous le nom de xHelper, le malware fut découvert en 2019 par le spécialiste de la cybersécurité Malwarebytes. Et il est plutôt résistant, puisqu'il survit même à une réinitialisation complète de votre appareil.

Découvert en mai 2019, xHelper était, dès l'été, en tête des tableaux de détection de Malwarebytes, avec plus de 33 000 installations. La société californienne a de nouveau été alertée, au mois de janvier 2020, par une utilisatrice dont le smartphone avait été victime du virus xHelper. Et quoi qu'elle fasse, cette dernière n'a pas réussi à s'en débarrasser, même en procédant à une restauration d'usine de son mobile.

xHelpler, le malware increvable (ou presque) qui revient en boucle

Diffusé principalement sur des smartphones Android américains dont nous avions récemment parlé sur Clubic, xHelper fonctionne comme une porte dérobée capable de recevoir des commandes à distance et d'installer d'autres applications sur l'appareil infecté. Sur son blog, Malwarebytes a détaillé le parcours effectué par une utilisatrice de son forum, qui tentait de se débarrasser de l'encombrant virus.

Pour écarter xHelper, Amelia a supprimé deux variantes du malware. Sauf que celui-ci était de retour dans l'heure. Alors, elle a cru bon de procéder à une restauration d'usine de son appareil. Cela n'a pas fonctionné. Sur le téléphone qui a servi de « cobaye », aucune autre application hormis Malwarebytes pour Android ne fut installée après la restauration, si ce n'est les applis natives au mobile.

Voici les dossiers coupables (© Malwarebytes)

Une infection involontairement déclenchée par Google Play

Les chercheurs de Malwarebytes ont finalement identifié la source permettant la réinfection systématique. Il s'agit de dossiers contenus dans le téléphone et comportant des fichiers qui, une fois exécutés, installent xHelper. Les spécialistes en cybersécurité ont compris que même en cas de restauration complète de l'appareil, ces dossiers ne disparaissaient pas.

Un autre package d'application Android (APK) se trouvait caché dans le répertoire com.mufc.umbtts. L'APK en question n'est pas un cheval de Troie à proprement parler mais ce que l'on appelle un « compte-gouttes » (un injecteur, ou dropper dans sa version originale), nommé Android/Trojan.Dropper.xHelper.VRW. L'APK installait une variante de xHelper sur le smartphone, pouvant être déclenchée involontairement par un élément de Google Play. Mais la boutique d'applications de Google n'est elle-même pas infectée. Le mystère demeure donc.

Quoi qu'il en soit, pour être débarrassé du malware, les utilisateurs doivent supprimer les répertoires et les fichiers, en passant par Malwarebytes notamment, et en désactivant au préalable Google Play.

De mémoire de chercheur, Nathan Collier, de Malwarebytes, reconnaît avoir affaire à « l'infection la plus méchante » qu'il a pu rencontrer s'agissant des logiciels malveillants mobiles. C'est en effet la première fois qu'un virus survit à une réinitialisation d'usine du smartphone.

Source : Malwarebytes

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (8)

stratos

il y a un risque si le smartphone n’est pas rooté?

DrGeekill

Possible. Je doute que les smartphones subventionnés par les Etats Unis comme tout smartphone d’ailleurs soient rootés mais vu que ceux ci sont infectés en usine apparemment est ce qu’il y a un risque pour les téléphones « saints » je ne saurais dire.

mcbenny

Est-ce que cela ne signifie pas que les concept de « restauration d’usine » est donc incomplet ?
Dès que d’autres concepteurs de virus auront eux aussi trouvé la porte par laquelle rentrer, Android sera très très mal.
Ca me fait penser à des puces de lit. Le seul moyen de s’en débarrasser facilement et efficacement c’est de brûler le matelas.

stratos

car combien de smartphone n’ont pas de mise à jour de l’OS, y a compris le mien toujours sur le 7 mais jamais rooté, donc je ne sais pas si cela permet un mini de sécurité, autant windows ça va je maitrise, mais jamais eu la moindre passion pour android

Popoulo

« Les chercheurs de Malwarebytes ont finalement identifié la source permettant la réinfection systématique. Il s’agit de dossiers contenus dans le téléphone et comportant des fichiers qui, une fois exécutés, installent xHelper. » : Waow. Qui l’eût cru ?

jos_ipp

Salut moi je pense que tout ceci est programmé d’avance je pense que les constructeurs de smartphones n’ont aucun intérêt à ce que nous gardions nos machines 10 ans ou je me trompe ?

pemmore

je suppose que le mien est attaqué par un virus, je n’ai plus accès a la touche ronde et carrée, et sur le playstore aucun téléchargement possible.
ça m’ennuie de revenir à la config d’usine et sauvegarder photos et vidéos no de téléphone.
En réseau avec le pc, j’ai utilisé l’anti virus de linux il m’en a trouvé 3 que j’ai détruits, mais pas eu le temps de voir ce que c’était et c’est pas une solution et rien de changé.

thomas2

bonjour , le virus et dans la resto d usine (systeme flash) pour s en debarrasser il faut flacher le systeme du telephone a faire par un pro. puis une resto d usine ensuite.