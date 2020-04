Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

La sagesse conventionnelle dit que la meilleure façon de vous débarrasser des logiciels malveillants est de réinitialiser votre appareil aux paramètres d’usine et de recommencer. Les chercheurs en sécurité ont sonné l’alarme il y a plusieurs mois après avoir détecté un logiciel malveillant Android qui survit aux réinitialisations d’usine, mais personne n’a pu comprendre exactement comment cela fonctionnait. Maintenant, nous le savons, et c’est assez intelligent.

Le malware, connu sous le nom de xHelper, a commencé à apparaître sur les appareils au début de cette année avec des infections concentrées en Russie. Il n’est pas apparu dans le Play Store, car les systèmes automatisés de Google le signaleraient immédiatement comme suspect. Une fois installé sur un appareil, xHelper tente d’obtenir un accès root, ce qui lui permet de modifier le logiciel système et de configurer une porte dérobée à travers laquelle il peut installer d’autres applications.

En février, Malwarebytes a confirmé que xHelper pourrait survivre aux réinitialisations d’usine grâce à un fichier indétectable dans un dossier caché. Le fichier réinfecterait l’appareil après chaque réinitialisation, mais les chercheurs ne pouvaient pas déterminer comment le fichier y était arrivé. Nous savons maintenant que c’est le résultat d’un effort de groupe entre xHelper et un cheval de Troie appelé Triada qui télécharge après que xHelper ait pris pied.

Une fois installée, Triada manipule la partition système pour ajouter le cadre de réinfection. Il donne également à ces fichiers un statut spécial afin qu’ils ne puissent pas être supprimés même par d’autres fonctions racine. Les chercheurs de Kaspersky Labs n’ont même pas pu monter la partition système en mode écriture pour supprimer le malware car Triada modifie d’importantes bibliothèques de système d’exploitation.

Donc, c’est une mauvaise programmation, mais il y a de bonnes nouvelles. Il est possible de supprimer complètement le malware si vous avez accès au mode de récupération. Vous pouvez remplacer les fichiers de bibliothèque modifiés, monter la partition système et supprimer les dossiers de logiciels malveillants. Un moyen plus simple serait de reflasher l’appareil avec une image logicielle officielle qui supprime tous les anciens dossiers système.

Heureusement, vous n’avez pas à vous inquiéter d’obtenir ce logiciel malveillant non éliminable sur votre téléphone. Comme mentionné précédemment, il ne se propage pas via Google Play. La seule façon d’être infecté est de charger les fichiers APK à partir de sites Web tiers louches. De plus, les capacités d’enracinement de xHelper et Triada ne fonctionnent que sur Android 6.0 et 7.0 (Marshmallow et Nougat). Les nouvelles versions d’Android empêcheront xHelper d’apporter des modifications au système d’exploitation et d’installer Triada. Idéalement, vous devez toujours utiliser des appareils qui prennent en charge la mise à jour de sécurité actuelle.

