Как проявляется заражение
Xhelper не похож на обычное приложение, так как он не имеет пользовательского интерфейса. Вирус маскируется под компонент какой-нибудь программы, поэтому его нельзя удалить привычным способом и невозможно найти в списке всех установленных приложений.
Помимо этого, Xhelper нельзя запустить случайно или вручную, поскольку с ним не связаны никакие значки или ярлыки. Вирус начинает работать автоматически при перезагрузке смартфона, установке какого-либо приложения или после подзарядки аккумулятора.
Запущенный вирус прописывает себя в систему Android как важную службу, работу которой нельзя прекратить вручную. Даже если вы воспользовались специальными приложениями и отключили вредоносную службу, она все равно будет перезапущена.
Вред вируса заключается в том, что после запуска он подключается к серверу и загружает различные дополнительные программы. Среди них могут быть как надоедливые рекламные баннеры, так и более серьезные трояны, нацеленные на кражу ваших личных данных. Иногда вирус может обратиться к сотовому оператору и подключить платные подписки, чтобы списать деньги с баланса пользователя. В некоторых случаях заражение даже приводит к полной потери работоспособности смартфона.
Где больше всего распространился вирус
Впервые Xhelper был замечен в марте 2019 года. Изначально его код был достаточно простым, и вся его деятельность заключалась в отображении рекламных блоков. Со временем сложность, функциональность и зашифрованность вируса значительно возросла.
Специалисты Symantec считают, что Xhelper будет дорабатываться и усложняться. Так, в расшифрованной части кода найдены пометки «Jio», которые указывают на интерес к устройствам, работающим в сети Jio – крупнейшим индийским оператором 4G. На данный момент пользователи Jio не испытывали вирусных атак, но все может измениться.
В целом, больше всего заражений обнаружено на устройствах в Индии, США и России. Согласно статистике, каждый месяц поражается около 2400 смартфонов.
Сложность борьбы с Xhelper
Xhelper крайне сложно удалить с зараженного устройства в силу следующих причин:
- вирус легко восстанавливается после удаления;
- во время работы он незаметно загружает посторонние вредоносные файлы, которые тоже нужно обнаруживать и удалять;
- применяются сложные технологии защиты от антивирусов.
Если Xhelper попадает на устройство через постороннее приложение, то он немедленно устанавливает себя как независимую службу. Таким образом, удаление исходного приложения не поможет избавиться от вируса.
Зачастую вирус скачивает другие пакеты и программы: Yeelight, Greater Kashmir, H2O Free Icon Pack 4.9, K-9 Mail 5.403, kprotect. Как правило, в них находятся еще одни вирусы и трояны. Самые «безобидные» приложения предназначены для отображения рекламы или слежки за устройством и пользовательскими данными.
Меры предотвращения заражения и минимизации последствий
Чтобы предотвратить заражение или смягчить последствия, стоит придерживаться обычных мер безопасности:
- своевременно обновляйте прошивку устройства и программы, установленные на нем;
- не устанавливайте приложения из неизвестных источников и ненадежных сайтов;
- не выдавайте подозрительному приложению важные разрешения (например, разрешение следить за активностью устройства);
- установите надежный антивирус и постоянно обновляйте его базы;
- копируйте личные данные и защищайте платежные сведения.
Лучшая мера борьбы с Xhelper – предотвращение его появления на устройстве. На данный момент избавиться от вируса не всегда могут даже специалисты.