Onderzoekers hebben eindelijk ontdekt hoe de xHelper-malware voor Androidtoestellen fabrieksresets kan overleven om toestellen opnieuw te infecteren. Eind vorig jaar waarschuwde antivirusbedrijf Symantec al voor de malware, die in zes maanden tijd zeker 45.000 toestellen had besmet.
De malware laat onder andere op willekeurige momenten advertenties zien. Naast het tonen van advertenties kan xHelper ook aanvullende malware op het toestel installeren. Hoe de malware op toestellen terechtkomt was nog onduidelijk, maar Symantec achtte het mogelijk dat een vooraf geïnstalleerde smartphone-app xHelper downloadt en installeert. Meerdere gebruikers meldden namelijk dat ze xHelper handmatig of via een fabrieksreset hadden verwijderd, maar de malware niet veel later weer was geïnstalleerd.
Antimalwarebedrijf Malwarebytes heeft nu een oplossing gevonden hoe de malware permanent is te verwijderen en waar die vandaan komt. Een verborgen map op het toestel bevat namelijk het APK-bestand dat de xHelper-malware installeert. Dit APK-bestand wordt door een nog onbekende manier via Google Play aangeroepen en kan zo de malware installeren. Bij een fabrieksreset worden apps verwijderd, maar blijven mappen en bestanden op het toestel aanwezig.
Zodoende kan xHelper een fabrieksreset overleven. Zodra de fabrieksreset is uitgevoerd kan de malware zichzelf vanuit de verborgen map opnieuw installeren. Om een nieuwe infectie te voorkomen moeten gebruikers dan ook tijdelijk Google Play stoppen. Vervolgens moeten verschillende mappen worden verwijderd, waarna Google Play weer kan worden ingeschakeld.
"Dit is veruit de vervelendste infectie die ik ooit als mobiele malware-onderzoeker ben tegengekomen. Meestal is met een fabrieksreset, dat de laatste optie is, zelfs de vervelendste infectie te verhelpen. Ik kan me niet herinneren dat een infectie na een fabrieksreset aanwezig bleef, tenzij het toestel met malware werd geleverd. Dit luidt een nieuw tijdperk in mobiele malware in. De mogelijkheid om het toestel opnieuw te infecteren via een verborgen map met een APK die detectie kan omzeilen is zowel angstig als frustrerend", zegt onderzoeker Nathan Collier.
Deze posting is gelocked. Reageren is niet meer mogelijk.