Si chiama xHelper il malware molto pericoloso di tipo Trojan che attacca i dispositivi Android diventato tristemente noto perché impossibile da rimuovere e in grado di rimanere nel sistema anche qualora si tenti il ripristino del sistema alle impostazioni di fabbrica. Apparso per la prima volta alla fine del 2019, ad ottobre questo malware aveva già infettato 45 mila dispositivi.
Finora non si era riuscito a capire come funzionasse questo malware e come potesse riuscire a sopravvivere a qualsiasi tentativo di eliminarlo. Ora però gli specialisti di Kaspersky Lab hanno scoperto e analizzato la minaccia, nonché, cosa ben più interessante, hanno capito come xHelper riesce a sopravvivere sempre, passaggio fondamentale per comprendere come eliminarlo.
Malware xHelper: ecco come fa a sopravvivere sempre
Fondamentalmente il segreto del malware xHelper è che esso è in grado di installarsi in una partizione di sistema, una parte della memoria che, nella normale modalità operativa Android, è montata in sola lettura. Ecco perché non è possibile eliminare i file xHelper durante l’uso tradizionale dello smartphone. Gli attributi assegnati ai file xHelper non consentono la rimozione nemmeno da parte di un utente con privilegi di root, senza contare che xHelper rimuove tutte le applicazioni root (ad esempio, Superuser) e modifica le librerie Android per impedire che qualsiasi partizione di sistema possa essere montata per essere scritta. I componenti di xHelper tra l’altro si mimetizzano tra i file di sistema necessari per il funzionamento di Android.
Ma quindi come si può rimuovere xHelper? L’unico modo per sbarazzarsi di questo malware è effettuare il flash dello smartphone da una versione di ripristino. Nella modalità di ripristino, è necessario caricare un’immagine di sistema completamente nuova. Ma attenzione a quale immagine di sistema si scarica: si è scoperto che molte immagini Android per smartphone più economici provenienti dalla Cina avevano già preinstallato un “componente aggiuntivo” che scaricava xHelper.
Precisiamo infine che questo malware colpisce principalmente le versioni Android 6 e 7, quindi gli utenti con versioni più recenti dovrebbero essere, per il momento, al sicuro.
