Negli ultimi sei mesi, una nuova varietà di malware per Android si è fatta un nome dopo essere apparso sul radar di diverse aziende di antivirus e utenti infastiditi grazie a un meccanismo di auto-reinstallazione che ha reso quasi impossibile rimuoverlo.
Chiamato xHelper, questo malware è stato scoperto per la prima volta a marzo, ma lentamente si è diffuso per infettare oltre 32.000 dispositivi entro agosto (per Malwarebytes), raggiungendo infine un totale di 45.000 infezioni questo mese (per Symantec).
Il malware si trova su una chiara traiettoria verso l'alto. Symantec afferma che l'equipaggio di xHelper sta facendo in media 131 nuove vittime al giorno e circa 2.400 nuove vittime al mese. La maggior parte di queste infezioni è stata individuata in India, Stati Uniti e Russia.
Secondo Malwarebytes, la fonte di queste infezioni sono i "reindirizzamenti web" che inviano gli utenti a pagine Web che ospitano app Android. Questi siti spiegano agli utenti come caricare lateralmente app Android non ufficiali al di fuori del Play Store. Il codice nascosto in queste app scarica il trojan xHelper.
La buona notizia è che il trojan non esegue operazioni distruttive. Secondo Malwarebytes e Symantec, per la maggior parte della sua durata operativa, il trojan ha mostrato messaggi pubblicitari invadenti e spam di notifica. Gli annunci e le notifiche reindirizzano gli utenti al Play Store, dove alle vittime viene chiesto di installare altre app, un mezzo attraverso il quale la banda xHelper sta facendo soldi con commissioni pay-per-install.
Ma la cosa più "interessante" è che xHelper non funziona come la maggior parte degli altri malware Android. Una volta che il trojan ottiene l'accesso a un dispositivo Android tramite un'app iniziale, xHelper si installa come un servizio autonomo separato.
La disinstallazione dell'app originale non rimuoverà xHelper e il trojan continuerà a vivere sui dispositivi degli utenti, continuando a mostrare popup e notifiche di spam.
Alcuni utenti hanno riferito di avere avuto successo con alcune versioni a pagamento di soluzioni antivirus mobili, ma altri no.
In un post sul blog pubblicato oggi, Symantec ha affermato che il trojan è in costante evoluzione, con nuovi aggiornamenti di codice che vengono spediti su base regolare, spiegando perché alcune soluzioni antivirus riescono a rimuovere xHelper in alcuni casi, ma non nelle versioni successive.
Sembra esserci una battaglia tra l'equipaggio di xHelper e le soluzioni antivirus mobili, con ognuna delle quali cerca di ottenere il meglio dell'altra.
Da notare che sia Symantec che Malwarebytes hanno anche emesso un avviso relativo alle funzionalità di xHelper. Mentre il trojan è attualmente impegnato in spam e entrate pubblicitarie, possiede anche altre funzionalità più pericolose. Entrambe le società hanno affermato che xHelper può scaricare e installare altre app, una funzione che il gruppo di xHelper potrebbe utilizzare in qualsiasi momento per distribuire payload di malware di secondo livello, come ransomware, trojan bancari, robot DDoS o ladri di password.
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
