Nos últimos seis meses, um novo tipo de malware foi observado por diversas empresas de segurança, pois, aparentemente, ele possui um sistema que se reinstala caso seja removido, tornando a sua eliminação praticamente impossível.
O malware, que recebeu o nome de xHelper, foi detectado pela primeira vez em março deste ano. Desde então, o software malicioso se expandiu para infectar mais de 32 mil dispositivos até agosto, de acordo com um levantamento feito pela empresa de segurança Malwarebytes. Agora, a Symantec estima que o software atingiu um total de 45 mil aparelhos.
Pode-se dizer que o malware está em ascensão. A Symantec diz que o xHelper infecta em média 131 novos dispositivos por dia, com um total de 2.400 novas vítimas por mês. A maioria dos casos acontecem na Índia, nos Estados Unidos e na Rússia, sempre em dispositivos Android.
Instalação da ameaça
A origem dessas infecções está ligada aos “redirecionamentos de páginas” que enviam os usuários para sites que hospedam aplicativos para Android. Esse tipo de site auxilia o usuário a instalar aplicativos não oficiais de fora da Play Store. Um código oculto nesses apps faz o download do xHelper.
Mesmo sendo uma ameaça, felizmente, o malware não realiza operações destrutivas. De acordo com empresas de segurança, durante a sua vida útil operacional, o xHelper mostrou apenas anúncios pop-up e notificações com conteúdo de spam.
Os anúncios e as notificações redirecionam os usuários para a Play Store, onde as vítimas são solicitadas a instalar outros aplicativos.
Funcionando de forma independente
Pelo que se sabe, o malware vem junto de algum aplicativo baixado fora da Play Store, porém, ao instalar o app infectado, o xHelper se instala como um serviço independente. Desinstalar o aplicativo original não removerá o xHelper, ele continuará ativo nos dispositivos dos usuários.
Software que não pode ser desinstalado
Mesmo que o software seja encontrado na seção de aplicativos instalados, removê-lo não funcionará, pois ele sempre conseguirá voltar ao sistema, mesmo que os usuários executem uma redefinição do dispositivo para restaurar os padrões de fábrica.
Como o xHelper sobrevive às redefinições de sistema ainda é um mistério. No entanto, tanto a Malwarebytes quanto a Symantec disseram que o aplicativo não adultera os apps do dispositivo. Além disso, foi informado que é “improvável que o xHelper estivesse pré-instalado nos aparelhos”.
Em alguns casos, usuários relataram que, mesmo removendo o aplicativo malicioso e desabilitando a opção “instalar aplicativos de fontes desconhecidas”, a configuração era ativada novamente e o aplicativo era reinstalado em questão de minutos.
Algumas pessoas relataram que obtiveram sucesso com algumas versões pagas de soluções antivírus para celular, mas outras não.
De acordo com a Symantec, o xHelper está em constante evolução, com atualizações de código sendo enviadas regularmente, o que explica o fato de alguns antivírus terem conseguido removê-lo.
Ameaça à segurança
É importante lembrar que, mesmo que o xHelper não apresente uma ameaça até o momento, ele possui um grande poder de modificar o sistema, e isso pode ser explorado por seus criadores.
Por enquanto, ele está envolvido em práticas de spam e dinheiro gerado pela instalação de aplicativos, mas ele possui alguns recursos mais perigosos.
O xHelper pode baixar e instalar outros aplicativos, uma função que seus desenvolvedores podem usar a qualquer momento para implantar algum outro tipo de ameaça, como ransomware, trojans bancários, bots DDoS ou softwares para roubo de senhas.
Via: ZDNet
Tags: