xHelper: è lui il malware invisibile che ha colpito già 45 mila dispositivi Android

La società di sicurezza informatica Symantec ha diffuso nei giorni scorsi i dettagli riguardanti una nuova minaccia per i dispositivi Android: un malware chiamato xHelper che negli ultimi sei mesi ha infettato oltre 45 mila dispositivi. Si tratta di un malware che la società di sicurezza MalwareBytes aveva già individuato per la prima volta nello scorso mese di maggio.

Gli utenti colpiti sono situati principalmente in India, Stati Uniti e Russia, e in questo periodo xHelper ha progressivamente scalato l'elenco dei primi 10 malware mobile più rilevati e la stessa Symantec sottolinea in particolare un'impennata nelle rilevazioni in quest'ultimo periodo.

"Solamente nello scorso mese si è verificata una media di 131 dispositivi infettati ogni giorno, e una media di 2400 dispositivi infetti in maniera persistente nell'arco del mese" afferma la società di sicurezza. MalwareBytes aveva indicato 33 mila dispositivi infetti nell'ultimo report, e gli attuali numeri di Symantec testimoniano una crescita molto rapida in appena due mesi.

L'origine precisa del malware è un aspetto sul quale si stanno ancora concentrando le indagini. Per quanto ha rilevato Symantec, nessuno degli esempi analizzati era disponibile sul Play Store di Google, elemento che lascia supporre che il malware possa essere stato scaricato da fonti sconosciute. Le caratteristiche che rendono xHelper particolarmente insidioso sono due: la possibilità di operare in maniera completamente invisibile (vedremo come poco oltre) e la capacità di continuare a reinstallarsi sul dispositivo anche dopo la rimozione manuale e addirittura dopo un richiamo delle impostazioni di fabbrica, il che suggerisce l'esistenza di un'altra app contrassegnata come "di sistema" che si occupa di continuare a scaricare il malware.

xHelper, il malware che si nasconde

Vediamo quindi le abilità "stealth" di questo malware: xHelper è formalmente un componente applicativo, e per questo motivo non risulta elencato nell'application launcher del dispositivo e non dispone nemmeno di un'icona. Questo da un lato rende impossibile la sua esecuzione manuale, ma dall'altro permette a xHelper di compiere le sue attività avvolto dall'ombra. Come può essere lanciato, quindi, mancando un'icona? Gli autori del malware hanno inserito una serie di "inneschi" che permettono a xHelper di avviarsi in corrispondenza di eventi esterni ad elevata frequenza: il collegamento ad una fonte di alimentazione, il riavvio del dispositivo, l'istallazione o la rimozione di un'altra app.

Nel momento in cui il malware viene avviato, si registra in Android come foreground service così da ridurre le probabilità di una chiusura automatica da parte del sistema operativo nel momento in cui, ad esempio, vi sono situazioni particolari (memoria congestionata o batteria in esaurimento). In ogni caso il malware si riavvia qualora venga chiuso.

La buona notizia, per così dire, è che xHelper non è caratterizzato da un'operatività particolarmente sofisticata: per ora si limita a bombardare l'utente con pop-up invadenti e notifiche di spam. Le sue particolari caratteristiche lo rendono però un vettore particolarmente efficace per l'esecuzione di pacchetti malware più complessi, lasciando aperta quindi la possibilità che si trasformi da un semplice adware ad una minaccia di sicurezza ben più grave, capace magari di installare altre app dannose o di permettere di prendere il pieno controllo del dispositivo da remoto.

Symantec rileva che le funzionalità di xHelper sono state ampliate in maniera abbastanza significativa nei tempi recenti, e che gli autori stiano comunque operando una costante evoluzione del malware per prendere di mira nuove vittime. Il codice sembra essere ancora in divenire e molte variabili etichettate come "Jio" portano a credere che gli attaccanti stiano pianificando un'azione più consistenti verso gli utenti Jio, il secondo operatore di rete cellulare in India che conta oltre 300 milioni di abbonati.