Negli ultimi sette mesi è aumentata la diffusione di un malware Android piuttosto pericoloso. La scoperta di xHelper risale al mese di marzo e ora è presente su oltre 45.000 dispositivi, principalmente di utenti indiani, russi e statunitense. Il malware non è visibile ed è persistente, quindi risulta quasi impossibile la sua rimozione, considerata anche la sua costante evoluzione.
Malwarebyte aveva rilevato circa 33.000 device infetti ad agosto, mentre secondo Symantec il numero è ora superiore a 45.000. Il malware è contenuto in alcune app che possono essere scaricate da siti esterni al Google Play Store. Quando tali app vengono disinstallate, xHelper rimane sul dispositivo (non c’è nessuna icona nel launcher) e funziona come un servizio persistente. Ciò significa che si riavvia anche se viene fermato manualmente. Il malware attiva la visualizzazione di inserzioni pubblicitarie e invia spam per convincere l’utente a scaricare altre app dallo store Google.
Symantec e Malwarebyte hanno scoperto che xHelper è “irremovibile”. Il malware sopravvive anche dopo il ripristino di fabbrica (il famoso factory reset). Non è chiaro al momento come ciò sia possibile. Alcuni utenti hanno rimosso il servizio e disattivato l’opzione “Installa app da fonti sconosciute”, ma il malware ha nuovamente infettato il dispositivo entro pochi minuti. Altri utenti sono riusciti ad eliminare xHelper con antivirus a pagamento.
Gli autori del malware hanno già previsto l’aggiunta di nuove funzionalità. Secondo le due software house, xHelper potrebbe diventare molto pericoloso se in futuro sarà in grado di installare ransomware, rubare password e accedere ad informazioni sensibili, come i dati bancari. Il consiglio è quello di evitare il download di app da fonti sconosciute e utilizzare un buon antivirus.