O malware Xhelper continua a infectar dispositivos Android. Além disso, o Trojan Xhelper permanece no dispositivo mesmo após a exclusão ou redefinição completa do dispositivo para as configurações de fábrica.
De acordo com Nathan Collier, Analista Sênior de Inteligência de Malware, O comportamento do Xhelper está inaugurando uma nova era de malware móvel. A possibilidade de reinfecção usando um diretório oculto contendo um APK que poderia escapar à detecção é realmente assustadora.
“Esta é de longe a infecção mais desagradável que encontrei como pesquisador de malware móvel. Geralmente uma redefinição de fábrica, qual é a última opção, resolve até a pior infecção. Não consigo me lembrar de uma vez em que uma infecção persistiu após uma redefinição de fábrica, a menos que o dispositivo viesse com malware pré-instalado”, - diz Nathan Collier.
Pesquisadores descobriram o Xhelper pela primeira vez em março 2019. Naquela hora, a funcionalidade do malware era relativamente simples, e sua principal função era monetizar visitas a páginas publicitárias. No entanto, isso não impediu que o malware entering the TOP 2019 threaté.
Desde então, a maioria dos aplicativos de segurança para dispositivos Android adicionou detecção xHelper, mas descobriu-se que livrar-se do malware não é tão simples.
De acordo com especialistas da Malwabytes, xHelper não é distribuído como parte do malware pré-instalado contido no firmware, mas usa a Google Play Store para reinfectar após uma reinicialização completa do dispositivo ou limpeza com software antivírus.
“Vimos importantes aplicativos de sistema pré-instalados infectados com malware no passado. Mas o próprio Google PLAY!? Depois de uma análise mais aprofundada, nós determinamos que, não, O Google PLAY não foi infectado por malware. No entanto, algo no Google PLAY estava desencadeando a reinfecção, talvez algo que estava armazenado. Além disso, que algo também poderia estar usando o Google PLAY como cortina de fumaça, falsificá-lo como fonte de instalação de malware quando na realidade, estava vindo de algum outro lugar”, — explicam os especialistas da Malwabytes.
De acordo com os especialistas, o malware faz acreditar que o Google Play é uma fonte de infecção, quando na verdade a instalação é realizada de outro local.
Ao analisar arquivos armazenados em smartphones Android comprometidos de uma das vítimas, foi descoberto que o Trojan downloader estava incorporado no APK localizado no diretório com.mufc.umbtts.
Os especialistas ainda não conseguiram descobrir qual é o papel do Google Play no processo de infecção.
“Aqui está a parte confusa: Em nenhum lugar do dispositivo parece que o Trojan.Dropper.xHelper.VRW está instalado. Acreditamos que ele instalou, corrido, e desinstalado novamente em segundos para evitar a detecção - tudo por algo acionado no Google PLAY. O “como” por trás disso ainda é desconhecido. É importante perceber que, diferentemente dos aplicativos, diretórios e arquivos permanecem no dispositivo móvel Android mesmo após uma redefinição de fábrica. Portanto, até que os diretórios e arquivos sejam removidos, o dispositivo continuará sendo infectado”, - escrevem os pesquisadores.
Os usuários são aconselhados a desligar a Google Play Store, e então comece a verificar o dispositivo com um programa antivírus. De outra forma, o malware continuará a retornar apesar de ser removido do dispositivo.