Seit ca. 6 Monaten geht ein Android-Trojaner um, der mittlerweile 45.000 Android-Geräte infiziert hat. Besonders fies: Der Trojaner mit dem Namen xHelper scheint auch einen Factory-Reset zu überstehen.
Anzeige
Ich bin über einen Tweet von Catalin Cimpanu auf das Thema aufmerksam geworden, wobei er die Details in diesem ZDNet-Artikel veröffentlicht hat.
New 'unremovable' xHelper malware has infected 45,000 Android devices
> Appeared in March
> 32k victims by August
> 45k by October
> Trojan reinstalls itself even after factory resetshttps://t.co/AXNWJ7kMa6 pic.twitter.com/HCDXR5ip7C— Catalin Cimpanu (@campuscodi) October 29, 2019
Der Android-Trojaner mit dem Namen xHelper wurde erstmals im März 2019 entdeckt und infiziert seit dieser Zeit immer weiter Android-Geräte. Bis August 2019 war die Infektionsrate aber langsam, Malwarebytes kam damals auf etwas mehr als 32.000 infizierte Android-Geräte. Im Oktober gibt Symantec jetzt an, dass bereits 45.000 Infektionen ermittelt wurden.
Installation über Drittanbieter-Apps
Laut Malwarebytes sind sogenannte "Web Redirects" die Quelle dieser Infektionen. Diese leiten Benutzer auf Webseiten, auf denen Android-Apps angeboten werden. Auf diesen Seiten erfahren die Benutzer, wie sie inoffizielle Android-Anwendungen am Google Play Store vorbei laden können. In den Apps ist aber der Code versteckt, der später den xHelper-Trojaner herunterlädt.
Anzeige
Die gute Nachricht ist, dass der Trojaner bisher wohl keine destruktiven Aktionen durchführt. Laut Malwarebytes und Symantec zeigt der Trojaner meist aufdringliche Popup-Werbung und Benachrichtigungs-Spam. Die Anzeigen und Benachrichtigungen leiten die Benutzer zum Google Play Store weiter. Dort werden die Opfer gebeten, andere Apps zu installieren. Das ist ein Ansatz, mit dem die xHelper-Hintermänner Geld mit Pay-per-Install-Provisionen verdienen.
Fies: Trojaner ist persistent
Das Fiese an diesem Trojaner ist aber, dass er nicht wie die andere Android-Malware funktioniert. Sobald der Trojaner über eine App Zugriff auf ein Android-Gerät erhält, installiert sich xHelper als eigenständiger Dienst. Selbst wenn die ursprüngliche App mit dem Downloader deinstalliert wird, verbleibt xHelper weiter auf dem Android-Gerät. Er zeigt weiterhin Popups und Benachrichtigungs-Spam an.
Quelle: Malwarebytes
ZDNet schreibt, dass das Entfernen des xHelper-Dienstes im Apps-Bereich des Android-Betriebssystems nicht funktioniere. Denn der Trojaner installiert sich jedes Mal neu, auch wenn der Benutzer einen Factory-Reset des gesamten Geräts durchführt. Wie xHelper das anstellt und ein Factory-Reset überlebt, ist immer noch ein Rätsel. Sowohl Malwarebytes als auch Symantec geben an, dass xHelper keine Systemdienste oder Systemanwendungen manipulieren.
In einigen Fällen geben Benutzer an, dass sich die Einstellung selbst dann, wenn sie den xHelper-Dienst entfernt und dann die Option "Apps aus unbekannten Quellen installieren" deaktiviert haben, immer wieder einschaltete und das Gerät innerhalb weniger Minuten nach der Reinigung neu infiziert wurde.
In den letzten Monaten haben sich viele Benutzer über den nahezu "unentfernbaren" Trojaner xHelper auf Seiten wie Reddit, Google Play Help (hier und hier) oder in anderen technischen Support-Foren beschwert. Einige Benutzer berichteten, dass sie mit einigen kostenpflichtigen Versionen von mobilen Antivirenlösungen erfolgreich waren. Andere Nutzer hatten jedoch keinen Erfolg mit diesem Ansatz.
Honestly interested into a how-to remove guide.
Lots of people complaining, no answers
4. https://t.co/lKR2TKBj4h pic.twitter.com/AWfH5w5Y04
— Catalin Cimpanu (@campuscodi) October 29, 2019
In einem Blogbeitrag schreibt Symantec, dass sich der Trojaner in ständiger Entwicklung befindet. Es werden regelmäßig neue Code-Updates herausgegeben, die erklären, warum einige Antivirenlösungen es schaffen, xHelper in einigen Fällen, aber nicht in späteren Versionen zu entfernen. Es scheint einen Kampf zwischen der xHelper-Crew und mobilen Antivirenlösungen zu geben, bei dem jeder versucht, sich gegenseitig zu übertreffen. Details finden sich bei Symantec sowie im ZDNet-Artikel.
Anzeige
Jetzt nur mal ne Frage, was für Entwickler, Programmierer haben Symantec und Co, xhelper ist garnicht so schwer los zu werden, hab den bereits von mehreren Smartphones entfernt. Blamabel für die großen antiviren hersteller.
Bei den Geräten wo ich xhelper entfernt habe kam er nicht zurück aufs Smartphone.
Nehmt einen vernünftigen Hacker der bekommt das genauso schnell hin wie ich.
Ohne Details ist die Aussage genau genommen wertlos – und die Aussage mit 'vernünftigem Hacker' ist schlicht ein Schmarren. Sorry – wenn Du Details nachlieferst ist es für Betroffene hilfreich – in der aktuellen Form nicht. Zudem gibt es wohl verschiedene Varianten von xhelper.