Теперь новый обзор вредоноса опубликовали специалисты Symantec, которые утверждают, что количество инфицированных устройств уже перевалило за 45 000, и в среднем xHelper заражает 131 новую жертву в день (около 2400 новых жертв в месяц), большинство из которых были обнаружены в Индии, США и России.
По данным исследователей, основным источником заражений являются редиректы и подозрительные сайты, которые переадресуют пользователей на страницы с приложениями для Android. Такие сайты подробно инструктируют пользователя, как загрузить приложения не из Google Play, а скрытый в приложениях код в итоге приводит к загрузке xHelper.
В настоящее время xHelper демонстрирует своим жертвам навязчивую всплывающую рекламу и спамерские уведомления. Как правило, такие объявления и уведомления приводят пользователей в Play Store, где им предлагается установить другие приложения. Операторы xHelper зарабатывают на комиссионных, которые получают за каждую такую установку. Но также малварь обладает и другими, куда более опасными функциями. Обе компании пишут, что xHelper может загружать и устанавливать другие приложения. И операторы малвари могут использовать эту функцию для развертывания угроз второго уровня, в том числе вымогателей, банковских троянов и так далее.
Однако самая интересная особенность xHelper заключается в том, что он работает не так, как большинство Android-малвари. После того, как троян получает доступ к устройству через первоначальное приложение, xHelper устанавливает себя как отдельную автономную службу. В итоге удаление исходного приложения не приводит к удалению xHelper, и малварь продолжит показывать рекламные окна и уведомления.
Хуже того, даже если жертва найдет службу xHelper в настройках ОС, ее удаление тоже не поможет делу, так как троян переустанавливается каждый раз, даже если пользователь сбросит устройство к заводским настройкам. В некоторых случаях пользователи жаловались, что даже удаление службы xHelper и отключение возможности установки приложений из неизвестных источников не помогает: устройство оказывалось повторно заражено буквально через несколько минут после очистки, и опция «install apps from unknown sources» оказывалась вновь активна. Такие дискуссии можно найти на Reddit, среди топиков Google Play Help (1, 2) и так далее.
При этом эксперты Malwarebytes и Symantec так и не смогли понять, каким образом xHelper «выживает» после такого. Вмешательство трояна в работу системных приложений и служб обнаружено не было, и в Symantec считают, что xHelper вряд ли предустановлен на устройствах "из коробки", хотя малварь действительно чаще появляется на устройствах конкретных брендов. Несмотря на это многие пользователи полагают, что дело именно в этом и призывают других не покупать дешевые китайские телефоны.