Новое «неудаляемое» вредоносное ПО xHelper заразило 45 000 Android устройств

2019-10-30 6426 комментарии
Сброс на заводские настройки не помогает. Антивирусные решения бессильны. Вредоносная программа xHelper автоматически переустанавливается

Новое «неудаляемое» вредоносное ПО xHelper заразило 45 000 Android устройств

Вредоносная программа, получившая название xHelper, была впервые обнаружена еще в марте, но уже к августу число зараженных устройств достигло 32 000 (новость от Malwarebytes), а в этом месяце количество зараженных устройств составило 45 000 (новость от Symantec).

Symantec сообщает, что вредоносная программа xHelper заражает в среднем 131 устройство в день и около 2400 устройств в месяц. Большинство зараженных устройств обнаружены в Индии, США и России.

По словам Malwarebytes, источником заражений являются «веб-перенаправления», которые отправляют пользователей на веб-страницы с приложениями для Android. Эти сайты рассказывают пользователям о том, как загружать и устанавливать неофициальные приложения для Android в обход Play Store. Затем, с помощью скрытого кода, установленные приложения загружают троян xHelper.

Хорошей новостью является то, что троян не выполняет деструктивных операций. По словам Malwarebytes и Symantec, на протяжении большей части срока эксплуатации троян демонстрировал навязчивую всплывающую рекламу и спам-уведомления. Объявления и уведомления перенаправляют пользователей в Play Store, где жертвам предлагается установить другие приложения - средство, с помощью которого злоумышленники xHelper зарабатывает деньги с комиссионных с оплатой за установку.

xHelper

Троян xHelper устанавливает себя в качестве отдельной автономной службы. Удаление исходного приложения не приведет к удалению xHelper, и троян будет продолжать работать на устройствах пользователей, продолжая показывать всплывающие окна и уведомления со спамом.

Более того, даже если пользователи обнаружат службу xHelper в разделе «Приложения» операционной системы Android, то удаление не поможет, т.к троян будет переустанавливаться каждый раз после удаления, даже после того, как пользователи выполнят сброс настроек устройства.

Как xHelper выживает после заводских перезагрузок, до сих пор остается загадкой; однако и Malwarebytes, и Symantec заявили, что xHelper не вмешивается в системные приложения системных служб. Кроме того, Symantec также заявил, что «маловероятно, что Xhelper может быть предустановлен на устройствах».

xHelper

Пользователи сообщали, что даже когда они удаляли службу xHelper, а затем отключали опцию «Установка приложений из неизвестных источников», этот параметр продолжал включаться снова, и устройство было повторно инфицировано в течение нескольких минут после очистки.

В сети можно найти достаточно много сообщение о заражениях трояном xHelper, например есть сообщения на Reddit , Google Play Help [1 , 2].

xHelper

В опубликованном сегодня сообщении в блоге Symantec сообщается, что троян находится в постоянном развитии: троян регулярно получает новые обновления, тем самым объясняется, почему некоторым антивирусным решениям удается полностью удалить xHelper в некоторых случаях, но не в более новых версиях.

Похоже, что между командой xHelper и мобильными антивирусными решениями идет битва, и каждый пытается получить преимущество над другим.

В то время как троянец сосредоточен на получении дохода от спама и рекламы, он также обладает другими, более опасными функциями. Компании Malwarebytes и Symantec заявили, что xHelper может загружать и устанавливать другие приложения. Эту функцию команда злоумышленников xHelper может использовать в любой момент для развертывания вредоносных программ второго уровня, таких как программы-вымогатели, банковские трояны, боты DDoS или похищение паролей.

По материалам Zdnet

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества