Symantec je detektovao malicioznu Android aplikaciju xHelper koja može da preuzima dodatne aplikacije, prikazuje reklame i ostane sakrivena od korisnika. Aplikacija se nakon uklanjanja sama reinstalira i ostaje sakrivena tako što se ne prikazuje u sistem launcheru. U proteklih 6 meseci, zarazila je oko 45.000 Android korisnika, pretežno u Indiji, SAD-u i Rusiji.

Instalira se preko third-party aplikacija

Istraživači iz kompanije Malwarebytes kao izvor infekcija navode preusmeravanje korisnika koje ih vodi na stranice koje hostuju Android aplikacije. Na tim stranicama korisnici dobijaju instrukcije kako da instaliraju aplikacije koje se ne nalaze u Play Store prodavnici, a u njima je sakriven kod koji im isporučuje xHelper trojanca.

Dobra vest za korisnike je što malver (za sada) nije destruktivan. I Malwarebytes i Symantec su došli do sličnih otkrića - malver korisnicima prikazuje popup reklame i spam notifikacije koje ih preusmeravaju na Play Store, a cilj je naterati žrtve da instaliraju određene aplikacije iz Google prodavnice. Grupa koja stoji iza xHelper malvera ima procenat od svake instalacije datih aplikacija (pay-per-install).

Slika 1. Spam koji korisnicima prikazuje xHelper. Izvor slike: Malwarebytes.

Kada xHelper preko inicijalne aplikacije dospe na telefon, praktično se instalira kao odvojeni, nezavisni servis. Upravo po tome se xHelper razlikuje od ostalih Android malvera. Deinstaliranjem inicijalne aplikacije xHelper neće biti uklonjen, već će nastaviti da spamuje korisnika popup reklamama i notifikacijama.

„Nemoguće ga je ukloniti”

Čak i da korisnik primeti xHelper servis na listi aplikacija, ništa neće postići njegovim uklanjanjem, jer se malver svaki put reinstalira, čak i nakon vraćanja uređaja na fabrička podešavanja. Još uvek je misterija na koji način xHelper uspeva da se vrati nakon resetovanja na fabrička podešavanja, ali je poznato da ne utiče na rad sistemskih servisa i aplikacija. Takođe, mala je verovatnoća da je xHelper bio instaliran pre kupovine uređaja.

Slika 2. xHelper servis. Izvor slike: Malwarebytes.

Pojedini korisnici su uz pomoć plaćenih verzija određenih AV rešenja uspeli da uklone malver, dok drugi nisu bili te sreće. Symantec navodi da autori ovaj malver konstantno ažuriraju, što objašnjava zašto su neka AV rešenja uspela da uklone starije verzije malvera, a nisu imale uspeha sa novijim.

Android korisnici bi trebalo da znaju da ovaj malver ima potencijal da napravi mnogo veću štetu nego do sada. S obzirom na to da xHelper ima mogućnost da preuzima i instalira druge aplikacije, napadači u svakom trenutku mogu da ga iskoriste za isporučivanje drugih pretnji, kao što su ransomware, bankarski trojanci, DDoS botovi, kradljivci lozinki itd.

Kako se zaštititi?

• Redovno ažurirajte softver.

• Ne preuzimajte aplikacije sa nepoznatih sajtova.

• Instalirajte samo aplikacije iz zvaničnih prodavnica.

• Vodite računa o dozvolama koje aplikacija traži.

• Koristite kvalitetno AV rešenje za mobilne urađaje.

• Redovno pravite rezervne kopije (backup) važnih podataka.