45.000 Android-Geräte persistent mit xHelper-Malware infiziert

Seit ca. 6 Monaten geht ein Android-Trojaner um, der mittlerweile 45.000 Android-Geräte infiziert hat. Besonders fies: Der Trojaner mit dem Namen xHelper scheint auch einen Factory-Reset zu überstehen.


Anzeige

Ich bin über einen Tweet von Catalin Cimpanu auf das Thema aufmerksam geworden, wobei er die Details in diesem ZDNet-Artikel veröffentlicht hat.

Der Android-Trojaner mit dem Namen xHelper wurde erstmals im März 2019 entdeckt und infiziert seit dieser Zeit immer weiter Android-Geräte. Bis August 2019 war die Infektionsrate aber langsam, Malwarebytes kam damals auf  etwas mehr als 32.000 infizierte Android-Geräte. Im Oktober gibt Symantec jetzt an, dass bereits 45.000 Infektionen ermittelt wurden.

Installation über Drittanbieter-Apps

Laut Malwarebytes sind sogenannte "Web Redirects" die Quelle dieser Infektionen. Diese leiten Benutzer auf Webseiten, auf denen Android-Apps angeboten werden. Auf diesen Seiten erfahren die Benutzer, wie sie inoffizielle Android-Anwendungen am Google Play Store vorbei laden können. In den Apps ist aber der Code versteckt, der später den xHelper-Trojaner herunterlädt.

Die gute Nachricht ist, dass der Trojaner bisher wohl keine destruktiven Aktionen durchführt. Laut Malwarebytes und Symantec zeigt der Trojaner meist aufdringliche Popup-Werbung und Benachrichtigungs-Spam. Die Anzeigen und Benachrichtigungen leiten die Benutzer zum Google Play Store weiter. Dort werden die Opfer gebeten, andere Apps zu installieren. Das ist ein Ansatz, mit dem die xHelper-Hintermänner Geld mit Pay-per-Install-Provisionen verdienen.

Fies: Trojaner ist persistent

Das Fiese an diesem Trojaner ist aber, dass er nicht wie die andere Android-Malware funktioniert. Sobald der Trojaner über eine App Zugriff auf ein Android-Gerät erhält, installiert sich xHelper als eigenständiger Dienst. Selbst wenn die ursprüngliche App mit dem Downloader deinstalliert wird, verbleibt xHelper weiter auf dem Android-Gerät. Er zeigt weiterhin Popups und Benachrichtigungs-Spam an.

xhelper-service.png

Quelle: Malwarebytes


Anzeige

ZDNet schreibt, dass das Entfernen des xHelper-Dienstes im Apps-Bereich des Android-Betriebssystems nicht funktioniere. Denn der Trojaner installiert sich jedes Mal neu, auch wenn der Benutzer einen Factory-Reset des gesamten Geräts durchführt. Wie xHelper das anstellt und ein Factory-Reset überlebt, ist immer noch ein Rätsel. Sowohl Malwarebytes als auch Symantec geben an, dass xHelper keine Systemdienste oder Systemanwendungen manipulieren.

In einigen Fällen geben Benutzer an, dass sich die Einstellung selbst dann, wenn sie den xHelper-Dienst entfernt und dann die Option "Apps aus unbekannten Quellen installieren" deaktiviert haben, immer wieder einschaltete und das Gerät innerhalb weniger Minuten nach der Reinigung neu infiziert wurde.

In den letzten Monaten haben sich viele Benutzer über den nahezu "unentfernbaren" Trojaner xHelper auf Seiten wie Reddit, Google Play Help (hier und hier) oder in anderen technischen Support-Foren beschwert. Einige Benutzer berichteten, dass sie mit einigen kostenpflichtigen Versionen von mobilen Antivirenlösungen erfolgreich waren. Andere Nutzer hatten jedoch keinen Erfolg mit diesem Ansatz.

In einem Blogbeitrag schreibt Symantec, dass sich der Trojaner in ständiger Entwicklung befindet. Es werden regelmäßig neue Code-Updates herausgegeben, die erklären, warum einige Antivirenlösungen es schaffen, xHelper in einigen Fällen, aber nicht in späteren Versionen zu entfernen. Es scheint einen Kampf zwischen der xHelper-Crew und mobilen Antivirenlösungen zu geben, bei dem jeder versucht, sich gegenseitig zu übertreffen. Details finden sich bei Symantec sowie im ZDNet-Artikel.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Android, Sicherheit abgelegt und mit Android, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu 45.000 Android-Geräte persistent mit xHelper-Malware infiziert

  1. Benjamin sagt:

    Jetzt nur mal ne Frage, was für Entwickler, Programmierer haben Symantec und Co, xhelper ist garnicht so schwer los zu werden, hab den bereits von mehreren Smartphones entfernt. Blamabel für die großen antiviren hersteller.

    Bei den Geräten wo ich xhelper entfernt habe kam er nicht zurück aufs Smartphone.

    Nehmt einen vernünftigen Hacker der bekommt das genauso schnell hin wie ich.

    • Günter Born sagt:

      Ohne Details ist die Aussage genau genommen wertlos – und die Aussage mit 'vernünftigem Hacker' ist schlicht ein Schmarren. Sorry – wenn Du Details nachlieferst ist es für Betroffene hilfreich – in der aktuellen Form nicht. Zudem gibt es wohl verschiedene Varianten von xhelper.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.