xhelper

Le malware Xhelper a infecté 45 000 smartphones Android

Au cours des derniers mois, des centaines d’utilisateurs d’Android se sont plaints d’un nouveau malware nommé Xhelper. Le malware se cache sur les appareils infectés et peut apparemment se réinstaller si les utilisateurs le suppriment. Il pourrait même effectuer un retour aux paramètres d’usine sur les appareils.

Xhelper a déjà infecté plus de 45 000 appareils Android au cours des 6 derniers mois et continue de se propager en infectant au moins 2400 appareils chaque mois, selon le dernier rapport publié par Symantec.

D’où vient le malware Xhelper?

Bien que les chercheurs de Symantec n’aient pas trouvé la source exacte de l’application malveillante, la firme de sécurité a suspecté qu’une application système malveillante pré installée sur les appareils Android de certaines marques a effectivement téléchargé le programme malveillant.

remove Xhelper android malware

“Aucun des échantillons que nous avons analysé n’étaient disponible sur le Google Play Store, et même si il est possible que le malware Xhelper soit téléchargé depuis des sources inconnues, nous pensons que ce n’est pas le seul moyen de distribution,” ont écrit les chercheurs de Symantec dans leur rapport.

“En regardant notre télémétrie, nous avons remarqué que ces applications sont plus fréquemment installées sur certaines marques de smartphone, ce qui nous amène à penser que les pirates se concentrent sur des marques spécifiques.”

Dans un rapport séparé publié il y’a deux mois par Malwarebytes, les chercheurs ont cru que le malware Xhelper se propageait en utilisant des “redirections web” ou “des sites suspects” qui poussent les utilisateurs à télécharger des applications depuis des sources peu fiables.

Comment fonctionne le malware Xhelper?

Une fois installée, Xhelper n’a pas d’interface graphique; il est installé en tant que composant d’application qui n’apparaît pas dans la liste d’applications.

Pour se lancer, Xhelper se repose sur des événements externes déclenchés par les utilisateurs, comme la mise en charge de l’appareil infecté, le redémarrage de l’appareil, ou l’installation/désinstallation d’une application.

Une fois lancé, le malware se connecte à un serveur command-and-control en utilisant une connexion chiffrée et télécharge des payloads (injecteurs, clickers et rootkits) sur les appareils Android compromis.

“Nous pensons que les malwares stockés sur le serveur C&C sont très variés, ce qui donne plusieurs options aux pirates, y compris le vol de donnée ou la prise de contrôle de l’appareil,” ont dit les chercheurs.

Les chercheurs pensent que le code source de Xhelper est encore en phase de développement, car “des variantes plus anciennes incluaient des classes vides qui n’ont pas été implémenté dans le passé, mais la fonctionnalité est maintenant complètement activée.

Le malware Xhelper cible majoritairement les smartphones Android en Inde, aux Etats-Unis et en Russie.

Plusieurs antivirus sur Android détecte le malware Xhelper mais ils n’arrivent pas à le supprimer définitivement ou à l’empêcher de se réinstallé sur les appareils infectés.

Il est recommandé aux utilisateurs d’Android de garder leurs appareils et leurs applications à jour, d’éviter d’installer des applications venant de sources inconnus, de faire attention aux permissions demandées par les applications, sauvegarder leurs données et installer un bon antivirus.

Si cet article vous a plu, jetez un œil à notre article précédent.