Torniamo ad occuparci del trojan xHelper, un nuovo malware Android divenuto rapidamente famoso in quanto è in grado di resistere anche al ripristino alle condizioni di fabbrica.

I ricercatori della sicurezza hanno indagato approfonditamente per comprendere bene il suo funzionamento interno, rivelando un sistema incredibilmente sofisticato che si installa sulla partizione di sistema di un telefono Android e persino cambia il modo in cui funziona per impedire che possa essere facilmente rimosso.

Come funziona il tojan xHelper

A spiegare come funziona il trojan xHelper è stato un ricercatore di Kaspersky (qui trovate il post dedicato), il quale ha scoperto che il malware scarica un rootkit che interessa principalmente le versioni di Android 6 o 7 (e colpisce i telefoni cinesi più di altri) e, una volta ottenuti i privilegi di root, installa direttamente malware sulla partizione di sistema che è in grado di reinfettare lo smartphone in qualsiasi momento.

Inoltre, ai file scritti dal malware viene assegnato un ulteriore attributo immutabile, rendendo difficile la loro eliminazione anche ad un esperto utente con permessi di root.

Tra le altre cose xHelper modifica anche una libreria di sistema Android (libc) interna per disabilitare il montaggio della partizione di sistema in modalità di scrittura e disinstalla app di root come Superuser (ossia uno strumento che potrebbe rendere il processo un po’ più semplice).

Il malware può essere rimosso tramite recovery ma anche in questo caso alcune delle immagini di fabbrica per questi dispositivi cinesi a basso costo vengono caricate con xHelper e quindi l’unico modo per sconfiggerlo è flashare una ROM più sicura o cambiare smartphone.