Вторая волна xHelper

Эксперты обнаружили вторую версию «популярного» мобильного вируса, поражающего гаджеты на андроид. Как показывает практика, стандартные способы борьбы с вредоносами на него не действуют. Не приводит к результату даже возврат к заводским настройкам. В конечном итоге экспертам Malwarebytes удалось полностью очистить от xHelper один из образцов зараженных гаджетов, однако повышенная «живучесть» внедоноса и его способность самовосстанавливаться все еще остается для них загадкой.

Почему Google Play оказался под подозрением

В ходе своей работы эксперты кибербезопасности пришли к выводу, что вирус Android может быть каким-то образом связан с Google Play. Онлайн-магазин посчитали одним из путей распространения второй волны xHelper. В то же время исследователи не исключают, что это может оказаться ложным следом, скрывающим настоящий источник заражения. В исследуемом устройстве, зараженном вредоносом, само приложение Google Play оказалось «чистым», при этом ни одно из приложений магазина не было установлено в гаджете. Экспериментируя с зараженным образцом, специалисты решили полностью отключить в настройках Google Play, и после этого вирус больше не появился в системе. На этом основании магазин приложений попал под косвенное подозрение.

Помимо этого, эксперты предположили, что вирус на смартфоне вызывает один из пользовательских файлов, который сохраняется в скрытом каталоге после сброса настроек. Исследователи действительно нашли такой файл с расширением APK, устанавливающий новую разновидность xHelper, которая в свою очередь уже загружает стабильную версию вредоносной программы. Вместе с этим специалисты не смогли найти ее в установленном виде внутри смартфона. Вредонос довольно хитер: он автоматически загружается, запускается и, чтобы не обнаружить себя, может за секунды самостоятельно удалиться. Исследователи так и не обнаружили, что же выступает сигналом к его установке, однако все еще считают, что это как-то связано с Google Play.

История xHelper

Впервые xHelper обнаружил себя прошлогодней весной, а уже к концу лета 2019 года вирус на андроид атаковал в среднем 35 000 мобильных устройств во всем мире. Отчет экспертов безопасности показал, что каждый день вредоносом заражались около 131 девайсов, причем в основном это касалось пользователей Индии, России и США.

Вредонос относится к так называемому типу программ-дропперов. Его основная работа заключается в том, чтобы другие, более опасные трояны на андроид могли незаметно попасть на устройство. Помимо этого, xHelper может сам показывать всплывающие рекламные объявления, включая предложения установить что-либо из Google Play.

С самого начала xHelper отличался «неубиваемостью». Первоначальная версия вредоноса закреплялась в системе как отдельное автономное приложение. Даже после его удаления из системы продолжала появляться реклама. Пути попадания вируса на устройства пользователей так и остались до конца не раскрытыми. По мнению специалистов, троян может входить в состав определенных приложений, которые предустанавливаются на смартфоны некоторых малоизвестных производителей.

В нынешней ситуации, на фоне появления второй волны xHelper эксперты безопасности рекомендуют пользователям зараженных устройств отключить в настройках Google Play, а затем почистить гаджет антивирусной программой. После этого вирус должен полностью удалится из системы.