De afgelopen zes maanden zijn zeker 45.000 Androidtoestellen geïnfecteerd met de Xhelper-malware, die nagenoeg niet te verwijderen is, zo claim antivirusbedrijf Symantec in een analyse. De malware laat onder andere op willekeurige momenten allerlei advertenties zien.

Doordat Xhelper een applicatie-onderdeel is wordt die niet in de applicatielauncher getoond. Dit maakt het volgens Symantec eenvoudiger voor de malware om onopgemerkt te blijven. Doordat Xhelper geen zichtbaar app-icoon op de launcher heeft kan die niet handmatig worden gestart. De malware wordt dan ook gestart door externe gebeurtenissen, zoals het installeren of verwijderen van een willekeurige app, het opladen van de telefoon of het herstarten van het toestel.

Naast het tonen van advertenties kan Xhelper ook aanvullende malware op het toestel installeren. Hoe de malware op toestellen terechtkomt is op dit moment nog onduidelijk, maar Symantec sluit niet uit dat een vooraf geïnstalleerde smartphone-app Xhelper downloadt en installeert. Meerdere gebruikers melden namelijk dat ze Xhelper handmatig of via een fabrieksreset hadden verwijderd, maar de malware niet veel later weer geïnstalleerd was.

"Aangezien het onwaarschijnlijk is dat de apps systeem-apps zijn, suggereert dit dat een andere kwaadaardige systeem-app de malware downloadt. Iets dat we op dit moment onderzoeken", zegt May Ying Tee van Symantec. De meeste infecties door Xhelper zijn in India, Rusland en de Verenigde Staten waargenomen.