XHelper is a malware for Android that has been around for a while. Security company Malwarebytes first detected it in May 2019.
Since then, almost all the applications ασφαλείας για Android μπορούν να ανιχνεύσουν το xHelper, κάτι που σημαίνει ότι οι συσκευές με Android που χρησιμοποιούν κάποιο αξιόπιστο security software they should be protected from this malware.
But as it turns out, cleaning a device is much harder than we thought, as xHelper comes back even after a full system reset.
How is that possible; According to Malwarebytes, xHelper does not use any pre-installed malware on the firmware, αλλά το Google Play, το οποίο εξακολουθεί να “σερβίρει” το malware μετά από την πλήρη επαναφορά μιας συσκευής ή μετά από ένα επιτυχή καθαρισμό με ένα πρόγραμμα protectionfrom viruses.
“Το Google Play δεν έχει μολυνθεί από κακόβουλα programs. Ωστόσο, κάτι στο Google PLAY προκαλεί εκ νέου μολύνσεις – ίσως κάτι που έμεινε στο storage. Επιπλέον, κάτι τέτοιο θα μπορούσε να χρησιμοποιεί το Google Play σαν παραπέτασμα καπνού, παραποιώντας το ως πηγή εγκατάστασης κακόβουλου λογισμικού, όταν στην πραγματικότητα προέρχεται από κάποιο άλλο site”, αναφέρει η Malwarebytes σε μια new analysis of malware.
The security company describes in detail a case of infection with xHelper. After a closer look at the files stored on the infected Android device, it was discovered that a Trojan dropper was embedded in an APK located in a directory called com.mufc.umbtts.
Researchers still do not know how Google Play is used to cause the infection.
“Trojan.Dropper.xHelper.VRW does not appear to be installed anywhere on the device. We believe it was installed, run and uninstalled again within seconds to avoid crawling - all from something triggered by Google Play. "The 'how' is still unknown," say Malwarebytes researchers.
To clear the infection, you must first disable the Google Play Store and then run a device scan with an antivirus. Otherwise, the malware will return despite being deleted.
