Den xHelper Trojan, laget for Android-enheter, ble først lagt merke til av eksperter våren i år, men den første detaljerte rapporten om problemet dukket opp i august, når Malwarebytes-eksperter rapportert at skadelig programvare allerede var infisert 35,000 enheter.
Symantec-eksperter publisert en gjennomgang av skadelig programvare og hevder at antallet infiserte enheter allerede har overskredet 45,000, og i gjennomsnitt infiserer xHelper 131 nye ofre per dag (handle om 2,400 nye ofre per måned), de fleste ble funnet i India, USA og Russland."Hovedkilden til infeksjoner er omdirigeringer og mistenkelige nettsteder som videresender brukere til sider med Android-applikasjoner. Slike nettsteder instruerer brukeren i detalj hvordan man laster ned applikasjoner som ikke er fra Google Play, og koden som er skjult i applikasjonene fører til slutt til lasting av xHelper", – sier forskere.
xHelper viser for øyeblikket påtrengende popup-annonser og spam-varsler til sine ofre. typisk, slike annonser og varsler fører brukere til Play-butikken, hvor de inviteres til å installere andre applikasjoner. XHelper-operatører tjener provisjoner som de mottar for hver slik installasjon. Likevel, skadelig programvare har andre, mye farligere funksjoner.
Begge selskapene skriver at xHelper kan laste ned og installere andre applikasjoner. Og skadevareoperatører kan bruke denne funksjonen til å distribuere trusler på andre nivå, inkludert løsepengevare, bank trojanere, og så videre.
"Men, den mest interessante funksjonen til xHelper er at den ikke fungerer som de fleste Android-skadevare når trojaneren får tilgang til enheten gjennom den første applikasjonen, xHelper installerer seg selv som en separat frittstående tjeneste. Endelig, fjerning av det opprinnelige programmet fjerner ikke xHelper, og skadelig programvare vil fortsette å vise annonsevinduer og varsler", — advarer forskerne.
Verre, selv om offeret finner xHelper-tjenesten i OS-innstillingene, sletting vil ikke hjelpe saken, ettersom trojaneren installeres på nytt hver gang, selv om brukeren tilbakestiller enheten til fabrikkinnstillingene.
I noen tilfeller, brukere klaget over at det ikke hjalp å avinstallere xHelper-tjenesten og deaktivere muligheten til å installere applikasjoner fra ukjente kilder: enheten så ut til å bli re-infisert bokstavelig talt noen minutter etter rengjøring, og alternativet "installere apper fra ukjente kilder” viste seg å være aktiv igjen. Slike diskusjoner finner du på Reddit, blant emnene i Google Play Hjelp.
Les også: Casbaneiro banktjenester Trojan brukt YouTube til å stjele kryptovaluta
Samtidig, eksperter fra Malwarebytes og Symantec klarte ikke å forstå hvordan xHelper "overlever" etter dette. Det var ingen trojanske forstyrrelser i driften av systemapplikasjoner og -tjenester, og Symantec mener at xHelper neppe vil være forhåndsinstallert på enheter ut av esken, selv om skadelig programvare faktisk vises oftere på enheter av bestemte merker. Til tross for disse fakta, mange brukere tror at dette er tilfellet og oppfordrer andre til å ikke kjøpe billige kinesiske telefoner.
