Il nuovo malware xHelper “inamovibile” per android
Negli ultimi sei mesi, una nuova varietà di malware per Android si è fatta un nome dopo essere apparsa sul radar di diverse aziende antivirus e di utenti grazie a un meccanismo di auto-reinstallazione che ha reso quasi impossibile rimuoverlo.
Chiamato xHelper, questo malware è stato scoperto per la prima volta a marzo, ma lentamente si è diffuso per infettare oltre 32.000 dispositivi entro agosto ( per Malwarebytes ), raggiungendo infine un totale di 45.000 infezioni questo mese ( per Symantec ).
Il malware si trova su una chiara traiettoria verso l’alto. Symantec afferma che l’equipaggio di xHelper sta facendo in media 131 nuove vittime al giorno e circa 2.400 nuove vittime al mese.
INSTALLATO TRAMITE APP DI TERZE PARTI
Secondo Malwarebytes, la fonte di queste infezioni sono i “reindirizzamenti web” che inviano gli utenti a pagine Web che ospitano app Android. Questi siti spiegano agli utenti come caricare lateralmente app Android non ufficiali al di fuori del Play Store. Il codice nascosto in queste app scarica il trojan xHelper.
La buona notizia è che il trojan non esegue operazioni distruttive. Secondo Malwarebytes e Symantec, per la maggior parte della sua vita, il trojan ha mostrato messaggi pubblicitari invadenti e spam di notifica. Gli annunci e le notifiche reindirizzano gli utenti al Play Store, dove alle vittime viene chiesto di installare altre app, un mezzo attraverso il quale la banda xHelper sta facendo soldi con commissioni pay-per-install.
Ma la cosa più “interessante” è che xHelper non funziona come la maggior parte degli altri malware Android. Una volta che il trojan ottiene l’accesso a un dispositivo Android tramite un’app iniziale, xHelper si installa come un servizio autonomo separato.
La disinstallazione dell’app originale non rimuoverà xHelper e il trojan continuerà a vivere sui dispositivi degli utenti, continuando a mostrare popup e notifiche di spam.
INAMOVIBILE
Inoltre, anche se gli utenti individuano il servizio xHelper nella sezione App del sistema operativo Android, rimuoverlo non funziona, poiché il trojan si reinstalla ogni volta, anche dopo che gli utenti eseguono un ripristino di fabbrica dell’intero dispositivo. Come xHelper sopravviva ai ripristini di fabbrica è ancora un mistero; tuttavia, sia Malwarebytes che Symantec hanno affermato che xHelper non altera i servizi di sistema o le app di sistema.
In alcuni casi, gli utenti hanno affermato che anche quando hanno rimosso il servizio xHelper e quindi disabilitato l’opzione “Installa app da fonti sconosciute”, l’impostazione ha continuato a riaccendersi e il dispositivo è stato nuovamente infettato dopo pochi minuti dalla pulizia.
Negli ultimi mesi, molti utenti si sono lamentati dello stato quasi “inamovibile” di xHelper, su siti come
In un post sul blog pubblicato oggi, Symantec ha affermato che il trojan è in costante evoluzione, con nuovi aggiornamenti del codice che vengono spediti su base regolare, spiegando perché alcune soluzioni antivirus riescono a rimuovere xHelper in alcuni casi, ma non nelle versioni successive.
Sembra esserci una battaglia tra l’equipaggio di xHelper e le soluzioni antivirus mobili, con ognuna delle quali cerca di ottenere il meglio dell’altra.
Da notare che sia Symantec che Malwarebytes hanno anche emesso un avviso relativo alle funzionalità di xHelper. Mentre il trojan è attualmente impegnato in spam e entrate pubblicitarie, possiede anche altre funzionalità più pericolose. Entrambe le società hanno affermato che xHelper può scaricare e installare altre app, una funzione che l’equipaggio di xHelper potrebbe utilizzare in qualsiasi momento per distribuire payload di malware di secondo livello, come ransomware, trojan bancari, robot DDoS o ladri di password.
