Вредонос неизвестным образом использует магазин Google Play для повторного заражения мобильных устройств.
Вредоносное ПО Xhelper продолжает заражать Android-устройства и способно возвращаться даже после удаления или сброса настроек до заводских.
Впервые исследователи обнаружили Xhelper в марте 2019 года. На тот момент функционал вредоносного ПО был относительно простым, и его основной функцией было посещение рекламных страниц с целью монетизации. С тех пор большинство приложений безопасности для Android-устройств добавили функцию обнаружения xHelper, но оказалось, что избавиться от вредоноса не так просто.
По словам специалистов из компании Malwabytes, xHelper распространяется не в составе предварительно установленного вредоносного ПО, содержащегося в прошивке, а использует магазин Google Play для повторного заражения после полной перезагрузки устройства или очистки с помощью антивирусного ПО. Как предполагают эксперты, вредонос только создает видимость того, что источником заражения является Google Play, тогда как на самом деле установка осуществляется из другого места.
В ходе анализа файлов, хранящихся на скомпрометированном Android-смартфоне одной из жертв, было обнаружено, что троянский загрузчик был встроен в APK, расположенный в каталоге com.mufc.umbtts.
Специалистам пока не удалось выяснить, каким образом Google Play используется для инфицирования. Пользователям рекомендуется отключить магазин Google Play, а затем запустить сканирование устройства антивирусной программой. В противном случае вредоносное ПО продолжит возвращаться, несмотря на удаление с устройства.
Ладно, не доказали. Но мы работаем над этим