Compartilhe

Em regra, um malware pode ser removido por um antivírus ou, na pior das hipóteses, você apaga todo o PC ou smartphone e elimina a ameaça. Porém, alguns malwares são persistentes, e podem voltar inclusive quando você restaura o dispositivo. E é isso o que está acontecendo com o xHelper Trojan em smartphones Android. E não sabemos como ele consegue fazer isso.

O xHelper Trojan foi descoberto no ano passado, e ele está persistente nos dispositivos que infecta, mesmo quando estes são redefinidos de fábrica. É um malware relativamente pequeno, que foi detectado em aproximadamente 33 mil dispositivos, principalmente nos Estados Unidos. Seu objetivo é atuar como um trojan para executar comandos de forma remota no dispositivo, para (por exemplo) instalar apps não autorizados, obtendo as mais variadas permissões.

Porém, apesar de sua baixa disseminação (até onde sabemos), ele é um malware que deve ser considerado como uma elevada ameaça pela sua capacidade de resistir a ser removido. Basicamente, toda vez que o usuário remove o malware, ele aparece novamente uma hora depois no mesmo diretório do sistema de arquivos. E mesmo que você formate todo o telefone e restaure o dispositivo do zero, você não consegue se livrar do trojan.

 

 

 

O vírus mais difícil de ser removido do smartphone

 

 

Os pesquisadores jamais viram um vírus tão resistente. A fonte das reinfecções são uma série de pastas que instalavam o APK do xHelper quando o dispositivo é ligado. Para a surpresa de todos, as pastas não são excluídas, nem mesmo manualmente ou depois de excluir tudo do smartphone Android.

Os especialistas ainda não entendem como exatamente o xHelper Trojan permanece no telefone depois de todo o sistema apagado. Inicialmente, imaginou-se que os arquivos maliciosos estavam dentro de um microSD, mas a ideia foi descartada já que a infecção também aconteceu em telefones sem microSD. A única coisa que sabemos é que o malware persiste na Google Play, de alguma forma.

A solução temporária encontrada é desativar o app da Google Play Store das configurações do sistema e, depois excluir as pastas xHelper manualmente do sistema de arquivos. A maioria dos vírus para Android acompanha um aplicativo que foi instalado pelo usuário e, assim, invade o telefone. Porém, de alguma forma, o xHelper Trojan está implementado a partir da própria Play Store.

 

 

A solução temporária encontrada por eles é desativar o aplicativo Google Play Store das configurações do sistema e, posteriormente, excluir as pastas xHelper manualmente do sistema de arquivos. A maioria dos vírus baseados em Android acompanha um aplicativo que foi instalado pelo usuário e, assim, digita o telefone. Mas o Malwarebytes descobriu que de alguma forma o trojan xHelper está sendo implementado a partir da própria Play Store.

O Android usa algumas pastas permanentes no sistema que não são excluídas ao reinstalar o sistema operacional. Tais pastas contam com arquivos para executar as funções básicas do telefone. Inicialmente, ninguém deve ter acesso a estas pastas além do Google e do próprio Android, mas nesse caso está bem claro que elas podem ser modificadas.

 

 

Via Malwarebytes


Compartilhe