MINACCE MOBILE

Malware xHelper, ecco come rimuovere la pubblicità indesiderata dagli smartphone Android

Il team di cyber security di Malwarebytes ha trovato il modo di eliminare definitivamente xHelper, il malware per Android considerato finora “immortale” perché dotato di un meccanismo di reinstallazione automatica impossibile da disinnescare. Ecco la procedura passo passo

17 Feb 2020
V
Nicola Vanin

Data Governance & Information Security Senior Manager


È stata finalmente individuata una “cura” per rimuovere xHelper, il malware “immortale” per dispostivi Android capace di intasare i dispositivi compromessi con una raffica di finestre popup pubblicitarie impossibili da controllare.

Malware xHelper: i dettagli tecnici

xHelper è un trojan che consente di eseguire comandi dall’esterno sul dispositivo smartphone compromesso e quindi installare, ad esempio, applicazioni non autorizzate.

Dulcis in fundo, non è semplice sbarazzarsi di xHelper neanche attivando il ripristino delle impostazioni di fabbrica per via del suo particolare meccanismo di reinstallazione automatica impossibile da disinnescare.

I ricercatori di sicurezza hanno impiegato quasi un anno per scoprire un metodo affidabile per ripulire gli smartphone infettati da xHelper e ora alcuni dei suoi segreti sono stati finalmente svelati.

La società di cyber sicurezza Symantec lo definisce un malware “persistente”, che nel caso di xHelper è un eufemismo. La società ha pubblicato schermate di forum in cui gli utenti hanno riferito che l’app è tornata anche dopo averla disinstallata manualmente e persino eseguire un ripristino di fabbrica non risolve il problema, o almeno non per molto.

Oltre a operare in silenzio e in background, xHelper porta infatti il suo comportamento furtivo a nuovi livelli non creando un’icona di app o un’icona di collegamento sul programma di avvio della schermata principale.

La mancanza dell’icona di un’app dedicata indica che il malware xHelper non necessita dell’interazione da parte dell’utente per essere avviato manualmente: per attivarsi, sfrutta alcuni trigger esterni come la connessione o disconnessione del dispositivo infetto da un alimentatore, il riavvio di un dispositivo o l’installazione/disinstallazione di un’app per eseguire sé stesso come un servizio in primo piano che riduce al minimo la possibilità di essere killato.

WHITEPAPER
Sicurezza OT: tutto quello che c’è da sapere
Sicurezza

L’unico modo per rimuovere xHelper potrebbe essere un reflash completo del dispositivo reinstallando l’intero sistema operativo Android. Si tratta, però, di una soluzione di fatto impraticabile per tutti gli utenti infettati dal malware, molti dei quali non hanno accesso alle immagini corrette del firmware del sistema operativo Android per eseguire un reflash.

“Questa è di gran lunga l’infezione più cattiva che ho riscontrato come ricercatore di malware su smartphone e tablet”, ha scritto un ethical hacker. “Di solito un reset di fabbrica, che è l’ultima opzione possibile per ripristinare le funzionalità del dispositivo, risolve anche l’infezione peggiore. Non ricordo altri casi in cui un’infezione persisteva dopo un ripristino delle impostazioni di fabbrica, a meno che il dispositivo non fosse dotato di malware preinstallato”.

In questi giorni, per nostra fortuna, il team di cyber security di Malwarebytes ha fatto sapere che, sebbene non siano ancora chiari tutti i dettagli del meccanismo che consente a xHelper di reinstallarsi sul dispositivo infetto, è riuscito comunque a raccogliere sufficienti informazioni sul suo modus operandi per rimuoverlo definitivamente e impedire a xHelper di reinstallarsi dopo aver eseguito un ripristino di fabbrica

Quello che è emerso è che xHelper ha apparentemente trovato un modo per utilizzare un processo all’interno dell’app Google Play Store per avviare l’operazione di reinstallazione.

xHelper, inoltre, riesce a nascondere il suo APK nella memoria del dispositivo sfruttando speciali directory: sarebbe questo l’escamotage utilizzato dal malware per sopravvivere ai ripristini di fabbrica.

Istruzioni per la rimozione

La società di cyber security Malwarebytes ha quindi messo insieme una serie di passaggi che gli utenti possono seguire per rimuovere il malware xHelper dai dispositivi e impedirne la reinstallazione.

  • Innanzitutto, occorre installare un file manager come Gestione file ASTRO da Google Play. L’applicazione è utile per cercare file e directory create da xHelper.
  • Il passaggio successivo consiste nel disabilitare temporaneamente il Google Play per fermare la reinfezione:
  1. dal menu Impostazioni tocchiamo la voce Apps e poi selezioniamo Google Play Store;
  2. quindi, premiamo il pulsante Disabilita.
  • È quindi utile eseguire una scansione della memoria dello smartphone con un buon antimalware aggiornato come Malwarebytes per Android. In questo modo, è possibile intanto rimuovere xHelper e altri eventuali malware.
  • Apriamo il file manager e cercare qualsiasi cosa in memoria che possa essere collegato a xHelper, a partire dal file com.mufc.
  • Se il file viene effettivamente individuato, annotiamo l’ultima data modificata. In questo caso, è dunque utile ordinare per data i risultati della ricerca effettuata con Gestione file ASTRO, selezionando la voce Impostazioni di visualizzazioni.
  • Procediamo, quindi, a cancellare tutto ciò che inizia con com.mufc e tutto ciò che ha la stessa data (eccetto le directory principali come Download):
  • Infine, riabilitiamo Google Play:
  1. accediamo al menu Impostazioni/Apps/Google Play Store;
  2. tocchiamo il pulsante Attiva.

@RIPRODUZIONE RISERVATA