Google Sklep Play wykorzystany jako aktywator trojana. Reset smartfonu nie załatwia sprawy

Trojan xHelper, zaobserwowany po raz pierwszy w maju 2019 r. przez MalwareBytes, ewoluował – przestrzegają badacze. Potrafi wykorzystać w roli aktywatora aplikację Sklepu Play, dzięki czemu jest niemożliwy do usunięcia nawet w momencie całkowitego resetu urządzenia.

xHelper powszechnie uważany jest za jedno z największych androidowych zagrożeń. Dzieje się tak, gdyż nikt w istocie rzeczy nie ustalił jego sposobu działania. Wiadomo, że malware ten wywołuje proces Trojan.Dropper.xHelper.VRW, który następnie może posłużyć do instalacji innego szkodliwego oprogramowania. Ale szczegóły były niejasne.

Szkodnik potrafił pojawiać się i samoistnie znikać po pobraniu innych śmieci. Specjaliści z MalwareBytes podejrzewali, że może być rozpowszechniany przez zainfekowane witryny. Nie przedstawili jednak konkretnej architektury zagrożenia, a tylko garść domysłów. Inną teorię miał Symantec, stawiając na skojarzenie z jakąś usługą systemową. Ponownie jednak tylko w kategorii domniemań i spekulacji.

Jak czytamy w najnowszym raporcie, xHelper ukrywa się w plikach wykonywalnych Sklepu Play. Z tego właśnie względu jest całkowicie odporny na reset i formatowanie pamięci urządzenia, bo pliki te nie są wówczas przywracane. Obchodzi także większość oprogramowania antywirusowego.

Na szczęście istnieje metoda na jego usunięcie, choć nie najprostsza. Według specjalistów z Malwarebytes, najpierw należy wykonać skan oprogramowaniem antywirusowym takim jak Malwarebytes for Android, a następnie usunąć wybranym menedżerem plików wszystkie pliki, których nazwy rozpoczynają się od com.mufc. I gotowe.