Il malware "Unremovable" xHelper ha infettato 45.000 dispositivi Android

Il malware "Unremovable" xHelper ha infettato 45.000 dispositivi Android

Negli ultimi sei mesi, un nuovo malware si è fatto un nome dopo essere apparso sul radar su un paio di aziende antivirus. Questo malware ha un meccanismo di auto-reinstallazione che rende quasi impossibile rimuoverlo.

Il malware si chiama xHelper, scoperto a marzo e ha rallentato i dispositivi Android. Come da Malbytes, xHelper ha infettato 32.000 dispositivi Android entro agosto. Inoltre, come da Symantec, i dispositivi infetti hanno raggiunto un totale di 45.000 questo mese.

Il nuovo malware Android mostra annunci pop-up intrusivi e spam di notifica

xNew malware Android mostra annunci pop-up intrusivi e spam di notifica

Il nuovo malware Android mostra annunci pop-up intrusivi e spam di notifica

Secondo Symantec, xHelper sta facendo 131 nuove vittime in media al giorno e intorno 2, 400 vittime al mese. La maggior parte degli utenti infetti è stata avvistata in India, negli Stati Uniti e in Russia.

La fonte di queste infezioni sono i "reindirizzamenti web" che inviano gli utenti alle pagine Web che ospitano app Android, afferma Malwarebytes. Questi siti spiegano agli utenti come caricare lateralmente app Android non ufficiali Google Play Store.

Il malware "Unremovable" xHelper ha infettato 45.000 dispositivi Android 1

xHelper non esegue operazioni distruttive ma mostra annunci pop-up invadenti

I codici nascosti in queste app scaricano quindi il Trojan xHelper. Fortunatamente, il trojan non esegue ancora operazioni distruttive. Ma per gran parte della sua durata operativa, il trojan ha mostrato pubblicità pop invadenti e spam di notifica dice sia Malwarebytes che Symantec.

Questi annunci e spam reindirizzeranno quindi gli utenti a Google Play Store, dove alle vittime verrà chiesto di installare altre app: è qui che la banda xHelper guadagna con commissioni pay-per-install.

xHelper è praticamente "inamovibile"

Ma la cosa più interessante è che xHelper non funziona come la maggior parte dei malware Android. Una volta che il trojan ottiene l'accesso a un Android tramite un'app iniziale, il malware si installa come un servizio autonomo separato.

Il malware "Unremovable" xHelper ha infettato 45.000 dispositivi Android 2

La disinstallazione dell'app principale non rimuoverà completamente xHelper, anche se gli utenti eseguono un ripristino delle impostazioni di fabbrica sui propri dispositivi. In questo caso, il trojan continuerà a vivere sui dispositivi degli utenti continuando a mostrare annunci pop-up e spam di notifica.

Potrebbe essere un mistero il modo in cui xHelper sopravvive al ripristino delle impostazioni di fabbrica, tuttavia, xHelper non manomette le app di sistema dei servizi di sistema, afferma Malwarebytes e Symantec. Inoltre, Symantec ha anche affermato che era "improbabile che Xhelper sia preinstallato sui dispositivi".

Il malware Android trovato nella sezione app del dispositivo (Crediti fotografici: Malwarebytes)

Il malware Android trovato nella sezione app del dispositivo (Crediti fotografici: Malwarebytes)

Apparentemente, secondo alcuni utenti, xHelper è stato rimosso quando hanno disabilitato l'opzione "Installa app da fonti sconosciute", quindi l'impostazione ha continuato a riaccendersi. Il dispositivo è stato reinfettato in un paio di minuti dopo essere stato pulito.

Molti utenti hanno preso Reddit per mostrare le loro frustrazioni sul malware "non rimovibile" e su altri siti come la Guida di Google Play e altri forum di supporto tecnico. Alcuni utenti hanno persino pagato abbonamenti all'antivirus solo per rimuovere il malware, a cui alcuni hanno successo.

Rapporti degli utenti in diversi siti online

Rapporti degli utenti in diversi siti online

I ricercatori della sicurezza avvertono gli utenti di una caratteristica più pericolosa di xHelper

Per ora, xHelper si occupa solo di entrate pubblicitarie e spam, tuttavia presenta anche funzioni molto più pericolose. Sia Malwarebytes che Symantec hanno affermato che il malware può scaricare e installare altre app.

Con questo, l'equipaggio di xHelper può utilizzarlo solo in qualsiasi momento per distribuire payload di malware di secondo livello, come ransomware, trojan bancari, robot DDoS e ladri di password. Se scopri che il tuo dispositivo è infetto, prova i metodi che hanno funzionato con molti utenti.