xHelper è un malware Android che sopravvive anche ai factory reset

30 Ottobre 2019 156

xHelper è un malware che da qualche tempo infetta i dispositivi Android, e che si fa notare perché è molto difficile da rimuovere. Secondo Symantec e Malwarebytes, le app antivirus sono quasi del tutto inefficaci, e nemmeno un ripristino del dispositivo alle impostazioni di fabbrica lo debella. Il dettaglio più curioso è che al momento non è chiaro come ci riesca. I ricercatori che si sono occupati del virus si limitano a dire che riesce a reinstallarsi ogni volta - e senza modificare app o servizi di sistema.

Alcuni utenti riportano successo nella rimozione usando le versioni a pagamento di alcune suite antivirus, ma per altri non ha funzionato nemmeno questo. Il problema, secondo i ricercatori, è che il virus è in continua evoluzione: il suo codice viene aggiornato quasi su base giornaliera, rendendone così difficile identificazione e rimozione.

xHelper si "contrae" installando app infette scaricate da siti esterni al Play Store. L'unica, magra consolazione è che, almeno per il momento, non è particolarmente dannoso - nel senso che non ruba dati o denaro. Mostra però pubblicità aggressiva sotto forma di notifiche, banner a schermo intero e popup. La pubblicità generalmente invita l'utente a installare app e giochi dal Play Store.

Le segnalazioni su xHelper si susseguono già da diversi mesi su siti come Reddit o il supporto ufficiale Google (QUI e QUI). Ciò significa che il virus è comparso nei radar dei ricercatori già da qualche tempo, ma non è ancora stata trovata una soluzione valida per debellarlo completamente. Anzi, sembra che la sua diffusione stia accelerando: secondo Malwarebytes, nel mese di agosto aveva già infettato 32.000 dispositivi, mentre secondo Symantec questo mese è arrivato a quota 45.000. Sono cifre ben distante da quelle raggiunte da altri malware, come Agent Smith, ma si tratta comunque di 131 nuove infezioni al giorno. Le statistiche mostrano che la maggior parte di queste avviene negli USA o in Russia.

Fotocamera Wide al miglior prezzo? LG G7 ThinQ è in offerta oggi su a 417 euro oppure da ePrice a 474 euro.

156

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
sergiov

Ho fatto 8 cent in un mese

matteventu

Puoi scaricarle gratis se usi Google Opinion Rewards.

matteventu

Qualche falla anche bella grossa...

MasterBlatter

Magari leggere che si prende scaricandolo fuori dal PlayStore non guasterebbe

ErCipolla
Igioz

quello che ho fatto io con un vecchio LG 3-4 anni fa
non c'era pezza, anche dopo reset (anche da recovery) rispuntava con le sue ads

Stefano Ferri

Mistero .

teda

Scappate sciocchi!

teda

Pornazzi sul dark web

PistacchioScemo

Colabrodo.

Berserker02

Idem paro paro con i mediatek grazie a flash tool. Reinstalli tutto il firmware e via.

ErCipolla

"O ad un certo punto della fase di cancellazione è abbastanza sveglio da riscriverei da solo nella parte già cancellata prima di essere cancellato lui stesso"

Potrebbe, questo però vorrebbe dire che è in esecuzione attiva nell'ambiente recovery, che risiede anch'esso su una partizione "di sistema" (/recovery).

"O che il reset non sovrascrive i cluster ma vengono solo etichettati come vuoti come succede sulle sd quando cancelli le foto"

Questo penso sia il comportamento standard, anche su altri SO, ma da solo non serve a granché dato che lo spazio etichettato come vuoto non è etichettato come eseguibile.

Lupo1

Boom...

Stefano Ferri

O ad un certo punto della fase di cancellazione è abbastanza sveglio da riscriverei da solo nella parte già cancellata prima di essere cancellato lui stesso .
O che il reset non sovrascrive i cluster ma vengono solo etichettati come vuoti come succede sulle sd quando cancelli le foto .

Urby

Eccerto, i famosi banner pubblicitari su macOS non esistono, figuriamoci.
Basta fare una piccola ricerca, e trovi tutti i problemi sia con iOS che con macOS, quello che sostieni te sono tutte leggende metropolitane basate su dati non correlati, ovvero +virus=-sicurezza il che è chiaro che non dipenda necessariamente da quello

Arturo Smeraldo

Quindi il mio s8 fermo a Oreo con patch di sicurezza Dicembre 2018 è a rischio?

Horatio
Martino Fontana

Ora che ci penso un malware non ci potrebbe neanche stare in una recovery: se ce ne fosse uno la recovery sarebbe diversa, e i bootloader bloccati non apprezzano queste cose.
Ovvero con questo ipotetico malware la stragrande maggioranza dei telefoni non si accenderebbe più, e questo non è quello che sta succedendo.

icaizer

E la Samsung a Folder Sicuro protetto dal Knox

realist

Però al momento della formazione e installazione può infettare i file di installazione

ErCipolla
e senza modificare app o servizi di sistema.

mah, se sopravvive a un factory reset deve per forza modificare la partizione di sistema (o quella di boot). Le partizioni utente vengono cancellate durante il factory reset.

jacksp

Io invece appena leggo di belle notizie penso "dai che forse c'è qualche speranza nel genere umano", poi vengo qui e leggo commenti come il tuo...

Dea1993

la butto li.
magari si reinstalla automaticamente solo se lo contrai in un sistema con permessi di root.. e a quel punto con i permessi di root puo' scrivere nelle partizioni a cui normalmente non avresti accesso, e che il ripristino non va a toccare, quindi rimane sempre presente.

Matteo

Per reinstallarsi autonomamente anche dopo il reset deve sicuramente esserci qualche falla.
Dov'è project zero quando serve? Come al solito Google punta il dito sulla pagliuzza negli occhi degli altri, ma non vede (o fa finta di non vedere) la trave nel proprio occhio.

Paolo

Non viene comunque specificato se vale per tutte le versioni di android compreso ultima con relative ultime Patch di sicurezza...

Matteo

Con un flash pulito del firmware, il problema dovrebbe andarsene.

CaptainBracc

"Magia magia" [cit. Frankino]

Carlo

e da dove avevi scaricato? Dalle fogne di Calcutta??

Ritornoalfuturo

Non so se scherzi. Ma si... Si è più vulnerabili

Sbisà Davide

Se uno va su siti di dubbia affidabilità per scaricare la ultima app craccata non è sicuramente ne colpa di Android e ne di iOS.

Yafusata

Ahahahahah

Yafusata

Nella maggor parte dei telefoni la recovery di sistema e' inutile e bisogna installarne un'altra decente (e quella intendo io).

Yafusata

Uso Blokada o simili e quando apro un'app corro subito a vedere quali connessioni apre e se non mi piacciono le blocco.
Ti eviti pure la pubblicita' cosi'.

GiOvYSish

e immagino che per un utente apple doc sia inimmaginabile la libertà, la libertà e anche quella che gli scemi prendono i virus, e poi ci sta fdroid che supera 10k volte google per sicurezza .... finiscila di votare i fascisti

Adriano

Ne hai avute tante di dimostrazioni su come ios e macos non siano né meno né più sicuro di qualunque altro sw. Smettetela con queste leggende

che storia strappalacrime!

Francesco Salvatore

Semplicemente perché Apple non ha le advisory pubbliche. Quindi non sai nemmeno cosa effettivamente Apple vada a chiudere con gli update, che è anche peggio.

GiOvYSish

"xHelper si "contrae" installando app infette scaricate da siti esterni al Play Store." ho smesso di leggere se scarichi da strunz . com sei scemo ,ma ci sono altre fonti molto più affidabili di google

Luca

Ed ogni volta che penso "ma no, non ce li spenderò mai tutti quei soldi per un iPhone" ecco che escono i reminder sulla sicurezza di android...

sergiov

Paga te le app sul play store

sergiov
Red Whiter

Io sono riuscito a bloccarlo totalmente, ma ha richiesto root veloci e ripetuti e una immediato blocco dellapp e dei suoi permessi

Raphael DeLaghetto

È un retrovirus, si nasconde nelle stringhe di comando..

Raphael DeLaghetto

Cioè? Chi ha fatto root è più vulnerabile?

Raphael DeLaghetto

Come le blocchi?

Vinx
Raphael DeLaghetto

È un retrovirus, non un virus...

Apocalysse

Considera anche solo 45'000 dispositivi infetti, sono un'inezia ...

Martino Fontana

La recovery non può avere alcuna influenza sul telefono mentre è acceso.

Nicola

E la terra è piatta

Xiaomi Mi Note 10: live batteria (5260 mAh) | Fine ore 22:45 con il 14% rimanente

Samsung Galaxy M30s: live batteria (6000 mAh) | Fine ore 23 con il 32% rimanente

Recensione Huawei Nova 5T: il top da 429€ euro che fa gola

Samsung Galaxy S10+: tutte le novità di Android 10 e One UI 2.0 | Video