Quando falamos em novo malware Android as vezes o sinal de alerta acende. Mas neste caso é bom realmente você prestar muita atenção, ou vai ter problemas a ponto de ter que trocar de dispositivo. Ocorre que um malware muito inteligente vinha sendo monitorado por alguns meses, e agora, os especialistas da Symantec conseguiram identificar como o xHelper funciona.
O novo malware xHelper, é conhecido por ser um aplicativo altamente malicioso e persistente, ou seja, uma vez que o dispositivo Android esteja infectado, ele oculta e baixa vários outros malwares, e ainda de quebra, exibe anúncios pop-up. E não adianta desinstalar, o aplicativo não pode ser removido de maneira simples dos dispositivos, nem mesmo com reset.
O malware está sendo disseminado em sites de terceiros, onde as pessoas baixam pacotes isolados no formato apk para instalar no Android. Até o momento, os especialistas não encontraram nenhum aplicativo na Google Play infectado.
Como funciona o xHelper?
Como já dissemos antes, ele após ser instalado no dispositivo vai baixar muitos outros malwares, e esses downloads são silenciosos, desta forma, o usuários só irá perceber quando tudo estiver comprometido.
O xHelper foi identificado pela primeira vez em maio deste ano e agora integra a lista dos 10 principais malwares para Android de 2019. O malware usa ícone e nome de vários aplicativos populares. Os hackers por trás dele, conseguem falsificar o arquivo a ponto de fazer a vítima acreditar que realmente está instalando algo legítimo.
No entanto, o código no qual o xHelper foi projetado não possui uma interface de usuário comum, é como se ele fosse parte de um outro aplicativo, e assim, ele acaba não sendo listado como um aplicativo no dispositivo. Desta forma, ele consegue executar suas atividades maliciosas com total discrição.
E não acabou, o pior é que, por não ser um aplicativo os antivírus atuais não conseguem detectar. Dependendo da versão do xHelper, ele é executado quando o usuário pluga o carregador, ou quando o dispositivo Android é reiniciado ou ainda quando um aplicativo qualquer é instalado ou desinstalado.
Desta forma, é neste momento que o novo malware ataca e baixa o que precisa. No Android, o xHelper se registra como um serviço em primeiro plano, o que diminui as chaves de ter o processo interrompido por ociosidade. Além disso, ele se conta ao servidor C&C, emite um alerta para os invasores e aguarda os comandos. Para completar ele ainda conta com um certificado SSL que evita a interceptação.
Tipologia do xHelper
A Malwarebytes também resolveu se aprofundar no assunto. Segundo eles, o xHelper possui duas versões a full-steaalth e a semi-stealth. Assim, nas duas o malware oculta o ícone no iniciador/launch de aplicativos, a diferença básica entre um e outro, é que na versão semi o ícone xHelper aparecer nas notificações, e a versão full exclui todas as notificações e possibilidade de rastreamento.
Além disso, os pesquisadores acreditam que o xHelper permanece em desenvolvimento, e que a qualquer momento uma nova versão mais inteligente será lançada. Atualmente, a preocupação deles esta voltada para a Índia, país onde o número de contaminação é alto. Por lá, o malware utiliza uma cópia falsa, mascarada do aplicativo Jio.
Por fim, e não menos importante, o malware não danifica fisicamente os aparelhos. Mas causa aborrecimentos com tantos anúncios e janelas sendo abertas. Além disso, direciona os usuários para a Play Store para forçar instalações e ganhar comissões por isso. Alguns usuários tem ido as autorizadas pedir um atualização no flash do dispositivo. Em breve, os antivírus devem lançar alguma ferramenta ou atualização para identificação do xHelper.
Para maiores informações consulte o artigo da Symantec e do Malwarebytes.