Symantec рассказала о новом Android-вредоносе xHelper


Найден новый вирус-зомби для Andro />

Вирус превращает смартфон в рекламную площадку

Специалисты компании Symantec обнаружили новое вредоносное приложение для Android под названием Xhelper.

Xhelper интересно тем, что от данного ПО очень сложно избавиться. В частности, приложение умеет переустанавливать само себя, кроме того, оно не отображается в списке установленных программ. Более того, избавиться от вируса не поможет даже сброс смартфона до заводских настроек — приложение всё равно останется на устройстве.

Что касается его действий, вирус выводит на экран смартфона различную рекламу. Специалисты Symantec также отмечают, что код Xhelper указывает на то, что приложение ещё находится в стадии разработки, то есть оно может стать ещё сложнее и опаснее для пользователей.

На данный момент, по оценке источника, вирусом заражено почти 50 000 смартфонов, и каждый месяц количество заражённых устройств растёт примерно на 2400 смартфонов.

Вирус, от которого невозможно избавиться, атакует смартфоны

На сайте компании Symantec эксперты по кибербезопасности рассказали о новом вирусе Xhelper, который поражает смартфоны на базе Android.

Xhelper может попасть на устройство при скачивании приложений, но при их удалении он будет продолжать свою активность.

«Он может переустановить себя после того, как пользователь удалит его и будет оставаться скрытым, не появляясь на панели запуска системы», — сказано в сообщении компании.

Не поможет избавиться от вируса даже сброс смартфона до заводских настроек.


По данным владельцев смартфонов, столкнувшихся с вредоносным ПО, на экране постоянно появляется реклама, также сокращается объем памяти.

Специалисты Symantec аргументируют это тем, что вирус Xhelper подключается к серверу, с которого качает другие опасные программы.

За последние полгода было заражено 45 000 гаджетов из России, Америки и Индии.

Новый вирус атаковал пользователей Android

Вирус невозможно удалить с устройства, он поразил уже более сорока тысяч пользователей.

Эксперты компании Symantec, специализирующейся на кибербезопасности, заявили об обнаружении нового вируса под названием Xhelper. Особенность этого вредоносного ПО заключается в том, что оно поражает только устройства, работающие на ОС Android.

На официальном сайте компании сказано, что вредоносное программное обеспечение угрожает пользователям гаджетов, которые функционируют на базе операционной системы Android. Отмечается, что из-за вируса дисплеи устройств заполняет реклама, а также значительно уменьшается память самого гаджета.

По словам специалистов, вирус попадает на устройства вместе с другими приложениями и остается даже при условии их удаления. При этом сбрасывание настроек гаджета до заводских не позволяет избавиться от вируса. Согласно оценкам экспертов компании, вирус Xhelper поразил уже 45 тысяч Android-устройств. Отмечается, что сильнее всего от вредоносного ПО пострадали пользователи из России, Соединенных Штатов и Индии.

Andro >

В сети появилась информация о новом вирусе Xhelper для Android-смартфонов, который быстрыми темпами распространяется среди пользователей. Особенность вредоносного ПО в его неудаляемости со смартфона, когда не помогают даже сбросы до заводских настроек.

Xhelper умеет самопереустанавливаться, поэтому, когда пользователь его удаляет, то через некоторое время находит опять. Запущенная программа показывает рекламу на смартфоне — так зарабатывают создатели вируса.


Нынешняя база вредоносного приложения составляет 50 тысяч устройств. А по данным компании Symantec, которая и нашла это ПО, Xhelper постепенно совершенствуется и каждый месяц «заражает» 2400 смартфонов. Главные страны распространения программы — Индия, США и Россия. Средства борьбы с Xhelper пока не нашли, но выяснили, что вирус предпочитает несколько производителей смартфонов, правда, их названия не сообщили.

  • Недавно Роскачество назвало лучшие антивирусы для Windows и macOS.
Мастер Йода рекомендует:  Информация по трафику от AMP Stories в Google Search Console

Специалисты предупредили о неудаляемом вирусе на Android

Установлено, что избавиться от Xhelper не получается даже путем сброса до заводских установок. При этом на экране смартфона всплывают рекламные сообщения и сокращается объем доступной памяти. В Symantec это объясняют тем, что вирус подключается к серверу, откуда качает другие вредоносные программы.

На данный момент известно, что от вируса Xhelper пострадали около 45 тыс устройств, в основном в России, Америке и Индии.

По материалам intermonitor.ru

По теме:

ESET и Google учредили альянс по безопасности

Ростелеком: снять деньги со счета по одному слову через ЕБС невозможно


Данные держателей кредитных карт Альфа-Банка попали в теневой интернет

SBI Банк запустил новую систему мониторинга информационной безопасности

Полиция задержала девять представлявшихся сотрудниками банков мошенников

BI.ZONE поддержит антифишинговую кампанию Интерпола

В ЕБС появится идентификация по рисунку вен ладони

Банк России оценит IT-безопасность кредитных организаций

Trend Micro подготовила статистику наиболее громких инцидентов в сфере информационной безопасности

Банк России: основной проблемой в сфере безопасности остается социальная инженерия

Android-смартфоны заражает «бессмертный» троян Xhelper. Не помогает даже сброс до заводских настроек

Специалисты компании Symantec сообщают о новом вредоносном ПО под названием Xhelper, которое стремительными темпами заражает Android-устройства .

Что это такое


Впервые вирус заметили в марте этого года, и с тех пор он значительно « окреп » . Источники заражения — редиректы и подозрительные сайты, которые переадресуют пользователей на страницы с приложениями для Andro > качестве основной службы, тем самым снижая риск отключения при нехватке памяти.

Цель Xhelper проста: он превращает любую модель в смартфон Xiaomi заваливает пользователя рекламой и спамом. Все дороги ведут Play Store, откуда предлагается установить разные приложения. С каждого скачивания разработчикам Xhelper « капают » проценты.

По подсчетам специалистов, троян уже заразил порядка 45 тысяч смартфонов и ежемесячно добавляет к этому числу 2400 устройств. Большинство из них в Индии, США и России.

Что с этим делать

Удалить Xhelper невозможно, так как он устанавливает себя как отдельную автономную службу. Не помогает ни удаление в настройках ОС, ни даже сброс до заводских настроек.

К сожалению, пока определить каналы распространения вредоноса не удалось. Но оказалось, что Xhelper заражает только определенные марки смартфонов. Какие именно — не уточняется.

Пользователей Android атаковал «неудаляемый» вирус

Специалисты по кибербезопасности Symantec выявили новый вирус Xhelper, поражающий гаджеты, работающие на операционной системе Android. О этом сообщается на сайте компании.

Из-за вируса на экранах гаджетов постоянно всплывает реклама, а также сокращается память.

Отмечается, что вирус попадает на устройство вместе с другими программами, продолжая действовать и при их удалении. Кроме того, даже восстановление заводских настроек не позволяет избавиться от вредоносного ПО.


По оценкам экспертов, Xhelper поразил уже 45 тыс. устройств, большая часть которых принадлежит россиянам, американцам и индийцам.

18 декабря специалисты по кибербезопасности сообщили об обнаружении нового вируса, поражающего устройства на базе платформы Android. Известно, что пользователи скачали зараженные приложения из магазина Google Play. Вредоносный код получил название Andr/Clickr-AD. Он способен генерировать постоянный переход по рекламным ссылкам вне зависимости от желания владельца гаджета. В этой связи вредоносная программа провоцирует стремительную разрядку смартфонов и планшетов.

Новый «неудаляемый» вирус атаковал пользователей Andro >

Эксперты компании Symantec, специализирующейся на кибербезопасности, заявили об обнаружении нового вируса под названием Xhelper. Об этом сообщает РИА Новости.

На официальном портале Symantec отмечается, что вирус поражает только те девайсы, которые работают на операционной системе Android. Вредоносное ПО значительно уменьшает память смартфона, а также провоцирует появление рекламных объявлений на экране.

Мастер Йода рекомендует:  4 концепта, необходимые специалисту по машинному обучению

Специалисты утверждают, что вирус проникает на устройства через другие приложения, но не удаляется вместе с ними. Справиться с вредоносным ПО можно с помощью сбрасывания настроек девайса к заводским. Вирусом Xhelper оказались поражены уже 45 тысяч Android-смартфонов. Больше всего он нанес вреда пользователям из США, Индии и РФ.

Ранее сообщалось, что спецслужбы КНР устанавливают шпионскую программу в смартфоны туристов. Это приложение работает только на ОС Android.

Новый «неудаляемый» вирус атаковал пользователей Andro >

Эксперты компании Symantec, специализирующейся на кибербезопасности, заявили об обнаружении нового вируса под названием Xhelper. Об этом сообщает РИА Новости.

На официальном портале Symantec отмечается, что вирус поражает только те девайсы, которые работают на операционной системе Android. Вредоносное ПО значительно уменьшает память смартфона, а также провоцирует появление рекламных объявлений на экране.

Специалисты утверждают, что вирус проникает на устройства через другие приложения, но не удаляется вместе с ними. Справиться с вредоносным ПО можно с помощью сбрасывания настроек девайса к заводским. Вирусом Xhelper оказались поражены уже 45 тысяч Android-смартфонов. Больше всего он нанес вреда пользователям из США, Индии и РФ.


Ранее сообщалось, что спецслужбы КНР устанавливают шпионскую программу в смартфоны туристов. Это приложение работает только на ОС Android.

Xhelper: Persistent Android Dropper App Infects 45K Devices in Past 6 Months

Malicious app hides itself, downloads other threats, displays ads, and is mainly targeting users in India, U.S., and Russia.

Symantec has observed a surge in detections for a malicious Android application that can hide itself from users, download additional malicious apps, and display advertisements. The app, called Xhelper, is persistent. It is able reinstall itself after users uninstall it and is designed to stay hidden by not appearing on the system’s launcher. The app has infected over 45,000 devices in the past six months.

We have seen many users posting about Xhelper on online forums, complaining about random pop-up advertisements and how the malware keeps showing up even after they have manually uninstalled it.

Figure 1. Users complain on forums about Xhelper (Top: Google, Bottom: Reddit)

Xhelper in action

Xhelper does not provide a regular user interface. The malware is an application component, meaning it won’t be listed in the device’s application launcher (see Figure 2). This makes it easier for the malware to perform its malicious activities undercover.

Figure 2. Code used to remove app from application launcher (top) and list app in launcher (bottom)

Xhelper can’t be launched manually since there is no app icon visible on the launcher. Instead, the malicious app is launched by external events, such as when the compromised device is connected to or disconnected from a power supply, the device is rebooted, or an app is installed or uninstalled.


Figure 3. Xhelper’s manifest code showing the events that will trigger the malware

Once launched, the malware will register itself as a foreground service, lowering its chances of being killed when memory is low. For persistence, the malware restarts its service if it is stopped; a common tactic used by mobile malware.

Figure 4. Xhelper registers itself as a foreground service and restarts the service if it is stopped

Once Xhelper gains a foothold on the victim’s device, it begins executing its core malicious functionality by decrypting to memory the malicious payload embedded in its package. The malicious payload then connects to the attacker’s command and control (C&C) server and waits for commands. To prevent this communication from being intercepted, SSL certificate pinning is used for all communication between the victim’s device and the C&C server.

Figure 5. Xhelper code containing SSL certificate-pinning feature

Мастер Йода рекомендует:  Задачи для программирования на Python. Задания по программированию на Питоне

Upon successful connection to the C&C server, additional payloads such as droppers, clickers, and rootkits, may be downloaded to the compromised device. We believe the pool of malware stored on the C&C server to be vast and varied in functionality, giving the attacker multiple options, including data theft or even complete takeover of the device.

Figure 6. HTTP POST request made by Xhelper to get configuration to download payload (C&C server address in red)

The rise of Xhelper

We first began seeing Xhelper apps in March 2020. Back then, the malware’s code was relatively simple, and its main function was visiting advertisement pages for monetization purposes. The code has changed over time. Initially, the malware’s ability to connect to a C&C server was written directly into the malware itself, but later this functionality was moved to an encrypted payload, in an attempt to evade signature detection. Some older variants included empty classes that were not implemented at the time, but the functionality is now fully enabled. As described previously, Xhelper’s functionality has expanded drastically in recent times.

We strongly believe that the malware’s source code is still a work in progress. For example, we spotted many classes and constant variables labeled as “Jio”, indicating possible future interest in Jio users, the largest 4G network in India. However, we have no evidence that Jio users are at risk at this time. Jio customers with JioSecurity installed on their devices are protected from these malicious apps. JioSecurity, which is powered by Norton Mobile Security, is available to Jio customers for free from the MyJio app.

Figure 7. Classes and packages in Xhelper source code mention Jio


Xhelper download sources

None of the samples we analyzed were available on the Google Play Store, and while it is possible that the Xhelper malware is downloaded by users from unknown sources, we believe that may not be the only channel of distribution.

From our telemetry, we have seen these apps installed more frequently on certain phone brands, which leads us to believe that the attackers may be focusing on specific brands. However, we believe it to be unlikely that Xhelper comes preinstalled on devices given that these apps don’t have any indication of being system apps. In addition, numerous users have been complaining on forums about the persistent presence of this malware on their devices, despite performing factory resets and manually uninstalling it. Since it is unlikely that the apps are systems apps, this suggests that another malicious system app is persistently downloading the malware, which is something we are currently investigating (keep an eye on the Threat Intelligence blog for more on this).

Figure 8. Users complaining about being unable to permanently uninstall Xhelper

Xhelper infections

According to our telemetry, at least 45,000 devices have been impacted by the Xhelper malware. In the past month alone, there was an average of 131 devices infected each day, and an average of 2,400 devices persistently infected throughout the month. The malware mostly affects users in India, the U.S. and Russia.

Protection/Mitigation

Symantec and Norton products detect these malicious apps as the following:

We advise users to take the following precautions:

  • Keep your software up to date.
  • Do not download apps from unfamiliar sites.
  • Only install apps from trusted sources.
  • Pay close attention to the permissions requested by apps.
  • Install a suitable mobile security app, such as Norton or Symantec Endpoint Protection Mobile, to protect your device and data.
  • Make frequent backups of important data.
Добавить комментарий