Foi verificado que com este novo malware, ainda que a vítima o tente apagar ou force um reset de fábrica, consegue reinstalar-se a si mesmo. Foi primeiramente identificado em 2019 pela Symantec, e age como uma aplicação de dropper persistente que se consegue reinstalar.
Após os investigadores da Kaspersky o terem analisado, conclui-se que é distribuído como um cleaner popular e uma app de otimização da velocidade para dispositivos móveis.
Assim que é instalado no dispositivo, a versão "cleaner" desaparece e só é visível se o utilizador for à lista de apps instaladas nas configurações de sistema.
Durante a instalação, a app regista-se a si mesma como um serviço de foreground e extrai um payload encriptado que reúne informação sobre o dispositivo da vítima - como o android_id, fabricante, modelo, etc. - e envia esses dados a um servidor sob o controlo dos atacantes, e que segundo a investigação é dado por https://lp.cooktracking[.]com/v1/ls/get).
Nesta fase, o dropper chamado Trojan-Dropper.AndroidOS.Helper.b é desencriptado e lançado, executando depois o malware Trojan-Downloader.AndroidOS.Leech.p que faz download do conhecido HEUR:Trojan.AndroidOS.Triada.dd, com uma série de exploits, e tenta daí obter privilégios root no dispositivo da vítima.
A nível mais técnico:
O código malicioso vai montar uma partição de sistema no startup em modo de leitura. Com o modo root, remonta a partição para modo de escrita e procede com o principal objetivo de começar o script designado por forever.sh. Daí, é usado o Triada para instalar programas maliciosos. Depois de instalado, o malware espera por comandos por parte do C2, sendo que usa o SSL Certificate Pinning para proteger a comunicação.
É difícil remover o malware porque o código malicioso atribui o atributo imutável a todos os ficheiros nas pastas do alvo, tornado-o difícil de apagar, já que o sistema não permite que mesmo os superusers apaguem os ficheiros com este atributo. Além disso, o malware também modifica a livraria de sistema libc.so de forma a prevenir que os utilizadores façam o re-mounting da partição do sistema para modo de escrita.
Desta forma, para remover:
À partida, modificando o libc.so usando um dos firmwares Android originais pode fazer com que seja possível fazer o mount da partição do sistema em modo de escrita e, dessa forma, remover o malware.
Mais informações: https://threatpost.com/xhelper-russian-nesting-doll-android-malware/154519/