xHelper malware nakal yang tidak bisa dihentikan

Pengguna Android kembali dihantui dengan kehadiran malware. Ancaman seperti ini bisa saja selalu muncul mengingat  sifat open source Android. Kasus kali ini terbilang cukup rumit, pasalnya malware xHelper ini termasuk salah satu jenis malware yang gigih. 

Symantec (31/10) melaporkan bahwa xHelper pertama kali terdeteksi pada Maret 2019. Kala itu, kode malware ini masih sederhana. Fungsi utamanya adalah mengunjungi halaman iklan untuk tujuan monetisasi. Namun, seiring berjalannya waktu, kode xHelper semakin berkembang. 

Saat ini, ada lebih dari 45.000 perangkat Android yang sudah terinfeksi xHelper. Sebagian besar, malware ini menyerang pengguna di kawasan Amerika Serikat, India dan Rusia. Bahkan pengembang malware ini sudah melakukan enkripsi pada malware ini untuk menghindari deteksi. Beberapa model yang lebih lawas juga menyertakan bagian kosong yang belum terisi. Symantec menduga, malware ini masih terus dikembangkan sampai saat ini. 

Seperti kebanyakan malware lainnya, xHelper muncul dengan menunggang sebuah aplikasi. Menurut pengamatan Symantec, sejauh ini tidak ada aplikasi di Google Play yang berisi xHelper. Diduga kuat bahwa xHelper tertanam pada aplikasi yang diunduh pengguna dari luar Google Play Store. Yang menarik adalah, xHelper akan menginstall dirinya sendiri di smartphone terinfeksi meski aplikasi pembawanya sudah dihapus. 

Untuk diketahui, serangan malware Android biasanya akan berhenti ketika aplikasi pembawanya dihapus dari smartphone. Ini sudah umum terjadi. Tetapi tidak dengan xHelper. Beberapa pengguna melaporkan bahwa sistem malware ini masih muncul ketika aplikasi pembawanya dihapus.

Malware ini juga dilaporkan tidak menghilang meski factory reset sudah dilakukan. Pengamatan Symantec menunjukkan bahwa malware ini terlihat lebih sering muncul para merek ponsel tertentu. Sayangnya, pihak Symantec tidak menyebut merek apa saja yang dimaksud ini. Namun hal ini menguatkan dugaan bahwa pengembang malware ini sengaja menargetkan ponsel dengan merek tertentu saja. 

Sejauh ini belum ada solusi bagaimana cara menghapus xHelper dari smartphone yang sudah terinfeksi. Ada pengguna yang melaporkan bahwa xHelper dapat dihapus dengan aplikasi anti virus berbayar di Android. Namun sebagian besar lainnya menyatakan bahwa hal itu juga tidak berhasil dengan baik. Xhelper masih tetap muncul. 

Bagaimana xHelper bekerja?

Symantec menyebut bahwa xHelper tidak menampilkan user interface. xHelper merupakan sebuah komponen dari aplikasi yang membuatnya tidak terdaftar pada launcher aplikasi. Hal ini membuat malware dapat dengan leluasa bekerja di balik layar. 

Malware ini tidak dapat diaktifkan secara manual. Ada beberapa kondisi yang memungkinkan malware tersebut aktif, seperti ketika terhubung dengan charger, perangkat dimulai ulang atau ketika sebuah aplikasi diinstall atau dihapus dari smartphone terinfeksi. Artinya, ketika pertama kali aplikasi pembawa dipasang, xHelper belum aktif sampai beberapa kondisi tadi terpenuhi. 

Source: MalwareBytes

Saat sudah aktif, malware ini langsung mendaftarkan dirinya sebagai layanan foreground. Hal ini dilakukan agar malware ini dapat tetap berjalan meski memori ponsel sudah semakin penuh. 

Selanjutnya, xHelper akan terhubung dengan server si penyerang. Dengan begini, penyerang dapat memanfaatkan malware ini untuk mengunjungi beberapa iklan, dan bahkan mensugesti pengguna untuk mengunduh beberapa aplikasi dari Google Play Store. Tujuannya jelas, monetisasi. Untuk mencegah komunikasinya diputus, penyerang menggunakan pinning sertifikat SSL untuk seluruh komunikasi antara ponsel korban dengan server xHelper. 

Symantec menduga xHelper bukan hanya digunakan untuk tujuan iklan saja. Beberapa fungsi lain mungkin terdapat pada malware ini. Pencurian data dan kontrol perangkat sepenuhnya merupakan dua dari sekian opsi yang mungkin dimiliki si penyerang. 

xHelper saat ini dilaporkan sudah berhasil menginfeksi 131 perangkat setiap harinya. Dalam satu bulan, rata-rata perangkat yang terinfeksi malware ini diperkirakan sekitar 2400 perangkat.