[via]
26 августа 2019 года специалисты компании Malwarebytes сообщили об обнаружении нового вредоносного приложения для операционной системы Android. На момент публикации было поражено около 35000 устройств по всему миру. Компания Google была уведомлена о наличии уязвимости в фирменном магазине.
Как оказалось проблема не была исправлена, позавчера компания Symantec опубликовала отчет, согласно которому уже заражено более 45000 устройств по всему миру, и в среднем xHelper заражает 131 новую жертву в день, большинство из которых были обнаружены в Индии, США и России.
По сообщениям исследователей источником заражения становятся редиректы на вредоносные страницы. На подобных страницах расположены ссылки, по которым пользователь может загрузить вредоносный apk файл. Скачанное приложения несет в себе вирус-спамер, который присылает пользователю навязчивые уведомления. Такие уведомления перенаправляют пользователя на страницы приложений в Google Play, где пользователю предлагается установить очередное приложение.
Авторы вируса зарабатывают на комиссионных, которые получают за каждую установку приложения. Однако, авторы публикации утверждают, что вирус имеет более опасные функции. В блоге Symantec сообщается, что xHelper может загружать и устанавливать другие приложения. И операторы малвари могут использовать эту функцию для развертывания угроз второго уровня, в том числе вымогателей, банковских троянов и так далее.
Уникальность вируса заключается в его “бессмертии”, вредоносное приложение устанавливает службу xHelper, и даже если пользователь удалит её через настройки ОС или сбросит устройство к заводским настройкам, служба будет переустановлена.
При этом эксперты Malwarebytes и Symantec так и не смогли понять, каким образом xHelper «выживает» после такого. Вмешательство трояна в работу системных приложений и служб обнаружено не было, и в Symantec считают, что xHelper вряд ли предустановлен на устройствах "из коробки", хотя малварь действительно чаще появляется на устройствах конкретных брендов.