Finalmente existe uma maneira de remover o xHelper, o malware irremovível do Android

Novo malware Ghimob pode espionar 153 aplicativos Android
Pesquisadores de segurança descobriram um novo malware Android que pode espionar e roubar dados de 153 aplicativos.

Os pesquisadores de segurança levaram quase dez meses para descobrir um método confiável de limpeza de smartphones infectados com xHelper, um tipo de malware para Android que, até recentemente, era impossível de remover.

A técnica de remoção é descrita no final deste artigo, mas primeiro um contexto para os leitores que desejam aprender mais sobre o xHelper.

Esse tipo de malware em particular causou muita dor aos usuários em todo o mundo nos últimos dez meses. O malware foi detectado pela primeira vez em março de 2019, quando os usuários começaram a reclamar em vários fóruns da Internet sobre um aplicativo que não puderam remover, mesmo após as redefinições de fábrica.

Esses aplicativos foram responsáveis por enganar os usuários com anúncios pop-up intrusivos e spam de notificação. Nada realmente malicioso, porém, ainda muito irritante.

Malware se expandiu rapidamente

À medida que o ano avançava, as campanhas do xHelper expandiram o alcance do malware, infectando cada vez mais dispositivos. De acordo com um relatório da Malwarebytes, havia cerca de 32.000 dispositivos infectados até agosto, número que chegou a 45.000 no final de outubro, quando os pesquisadores da Symantec também publicaram seu próprio relatório sobre a ameaça.

Segundo os pesquisadores, a fonte dessas infecções foram “redirecionamentos da web” que enviaram usuários para páginas da web que hospedavam aplicativos para Android. Os sites instruíram os usuários sobre como carregar aplicativos Android não oficiais de fora da Play Store. O código oculto nesses aplicativos acabou por baixar e instalar o Trojan xHelper.

No entanto, embora fosse fácil descobrir sua origem, alcance e ponto de infecção, o que confundiu os pesquisadores de segurança no ano passado foi que eles não podiam remover o malware de um dispositivo por métodos tradicionais, como desinstalar o aplicativo xHelper original ou uma redefinição de fábrica.

Toda vez que um usuário redefinia o dispositivo de fábrica, o malware simplesmente surgia algumas horas depois, reinstalando-se sem interação do usuário.

Finalmente existe uma maneira de remover o xHelper, o malware irremovível do Android
Imagem: ZDNet

A única maneira de remover o xHelper era realizar uma atualização completa do dispositivo reinstalando todo o sistema operacional Android, uma solução que não era possível para todos os usuários infectados, muitos dos quais não tinham acesso às imagens corretas do firmware do sistema operacional Android para executar uma reflash.

ALGUMAS PISTAS EMERGEM

Desde que se deparou com o malware no ano passado, os pesquisadores de segurança da Malwarebytes continuaram analisando a ameaça.

Em uma postagem no blog, a equipe do Malwarebytes diz que, embora ainda não tenha descoberto exatamente como o malware é reinstalado, eles descobriram informações suficientes sobre seu modus operandi para removê-lo definitivamente e impedir que o xHelper se reinstale após a redefinição.

A equipe do Malwarebytes diz que o xHelper aparentemente encontrou uma maneira de usar um processo dentro do aplicativo Google Play Store para acionar a operação de reinstalação.

Com a ajuda de diretórios especiais criados no dispositivo, o xHelper estava ocultando seu APK no disco para sobreviver às redefinições de fábrica.

Ao contrário de aplicativos, diretórios e arquivos permanecem no dispositivo móvel Android mesmo após uma redefinição de fábrica, diz Nathan Collier, analista sênior de inteligência de malware da Malwarebytes.

Collier acredita que, uma vez que o aplicativo da Google Play Store executou alguma operação ainda a ser determinada (supostamente algum tipo de verificação), ele se reinstalou.

INSTRUÇÕES DE REMOÇÃO

O Collier agora reuniu uma série de etapas que os usuários podem seguir para remover o malware xHelper dos dispositivos e impedir que ele se reinstale.

Observe que essas instruções dependem dos usuários que instalam o aplicativo Malwarebytes para Android, mas esse aplicativo é gratuito, portanto não deve ser um problema para os usuários.

Etapa 1: instale um gerenciador de arquivos do Google Play que possa pesquisar arquivos e diretórios. (por exemplo: Amelia usou o File Manager da ASTRO).

Etapa 2: desative o Google PLAY temporariamente para interromper a reinfecção.

  • Vá para Configurações > Aplicativos > Google Play Store
  • Pressione o botão Desativar

Etapa 3: execute uma verificação no Malwarebytes for Android para identificar o nome do aplicativo que oculta o malware xHelper. A desinstalação manual pode ser difícil, mas os nomes a serem procurados na seção de informações dos Aplicativos para Android OS são firewayxhelper e Settings (somente se dois aplicativos de configurações forem exibidos).

Etapa 4: Abra o gerenciador de arquivos e procure qualquer coisa no armazenamento, começando com com.mufc.

Etapa 5: se encontrado, anote a data da última modificação.

  • Classificar por data no gerenciador de arquivos
  • No Gerenciador de arquivos da ASTRO, você pode classificar por data em Configurações de exibição.

Etapa 6: exclua qualquer coisa que comece com .mufc. e qualquer coisa com a mesma data (exceto diretórios principais como Download ):

Finalmente existe uma maneira de remover o xHelper, o malware irremovível do Android
Imagem: Malwarebytes

Etapa 7: reativar o Google PLAY

  • Vá para Configurações > Aplicativos > Google Play Store
  • Pressione o botão Ativar

Fonte: ZDNet