In den letzten sechs Monaten hat sich eine neue Android-Malware-Sorte einen Namen gemacht, nachdem sie auf dem Radar mehrerer Antivirenfirmen aufgetaucht ist und die Benutzer dank eines selbst installierten Mechanismus, der die Entfernung nahezu unmöglich macht, verärgert hat.
Diese Malware mit dem Namen xHelper wurde erstmals im März entdeckt, expandierte aber bis August langsam auf mehr als 32.000 Geräte (pro Malwarebytes) und erreichte diesen Monat schließlich insgesamt 45.000 Infektionen (pro Symantec).
Die Malware befindet sich auf einem klaren Aufwärtstrend. Symantec sagt, dass die xHelper-Crew durchschnittlich 131 neue Opfer pro Tag und rund 2.400 neue Opfer pro Monat macht. Die meisten dieser Infektionen wurden in Indien, den USA und Russland festgestellt.
Laut Malwarebytes ist die Quelle dieser Infektionen „Web Redirects“, die Benutzer auf Webseiten mit Android-Apps leiten. Auf diesen Seiten erfahren die Benutzer, wie sie inoffizielle Android-Anwendungen von außerhalb des Play Store aus laden können. Code, der in diesen Apps versteckt ist, lädt den xHelper-Trojaner herunter.
Die gute Nachricht ist, dass der Trojaner keine destruktiven Aktionen durchführt. Laut Malwarebytes und Symantec hat der Trojaner während der gesamten Betriebszeit aufdringliche Popup-Werbung und Benachrichtigungs-Spam gezeigt. Die Anzeigen und Benachrichtigungen leiten die Benutzer zum Play Store weiter, wo die Opfer gebeten werden, andere Apps zu installieren – ein Mittel, mit dem die xHelper-Bande Geld mit Pay-per-Install-Provisionen verdient.
Am „interessantesten“ ist jedoch, dass xHelper nicht wie die meisten anderen Android-Malware funktioniert. Sobald der Trojaner über eine erste App Zugriff auf ein Android-Gerät erhält, installiert sich xHelper als eigenständiger Dienst.
Die Deinstallation der ursprünglichen App entfernt xHelper nicht, und der Trojaner lebt weiterhin auf den Geräten der Benutzer und zeigt weiterhin Popups und Benachrichtigungs-Spam an. Darüber hinaus funktioniert das Entfernen des xHelper-Dienstes im Apps-Bereich des Android-Betriebssystems nicht, da sich der Trojaner jedes Mal neu installiert, auch nachdem der Benutzer einen Factory-Reset des gesamten Geräts durchgeführt hat.
Wie xHelper überlebt, ist immer noch ein Rätsel, aber sowohl Malwarebytes als auch Symantec sagten, xHelper manipuliert keine Systemdienste-Systemanwendungen. Darüber hinaus sagte Symantec auch, dass es „unwahrscheinlich ist, dass Xhelper auf Geräten vorinstalliert ist“.
In einigen Fällen sagten Benutzer, dass sich die Einstellung selbst dann, wenn sie den xHelper-Dienst entfernt und dann die Option „Apps aus unbekannten Quellen installieren“ deaktiviert haben, immer wieder einschaltete und das Gerät innerhalb weniger Minuten nach der Reinigung neu infiziert wurde.
In den letzten Monaten haben sich viele Benutzer über den nahezu „unentfernbaren“ Zustand von xHelper beschwert, auf Seiten wie Reddit, Google Play Help[1, 2] oder anderen technischen Support-Foren.
Einige Benutzer berichteten, dass sie mit einigen kostenpflichtigen Versionen von mobilen Antivirenlösungen erfolgreich waren, andere jedoch nicht. In einem heute veröffentlichten Blogbeitrag sagte Symantec, dass sich der Trojaner in ständiger Entwicklung befindet, wobei regelmäßig neue Code-Updates herausgegeben werden, die erklären, warum einige Antivirenlösungen es schaffen, xHelper in einigen Fällen, aber nicht in späteren Versionen zu entfernen.
Es scheint einen Kampf zwischen der xHelper-Crew und mobilen Antivirenlösungen zu geben, bei dem jeder versucht, sich gegenseitig zu übertreffen.
Bemerkenswert ist, dass sowohl Symantec als auch Malwarebytes eine Warnung bezüglich der Funktionen von xHelper herausgegeben haben. Während der Trojaner derzeit an Spam und Werbeeinnahmen beteiligt ist, besitzt er auch andere, gefährlichere Funktionen. Beide Unternehmen sagten, dass xHelper andere Anwendungen herunterladen und installieren kann, eine Funktion, die die xHelper-Crew jederzeit nutzen kann, um Malware-Nutzlasten der zweiten Stufe wie Ransomware, Banking-Trojaner, DDoS-Bots oder Passwortdiebe einzusetzen.