Vírus para Android continua voltando mesmo após uma restauração completa

A Malwabytes relatou um vírus para Android continua voltando mesmo após uma restauração completa. Confira os detalhes e veja como se livrar dele.

O xHelper é uma infecção por malware Android que existe há algum tempo, com o fornecedor de segurança Malwarebytes detectando-o pela primeira vez em maio de 2019.

Vírus para Android continua voltando mesmo após uma restauração completa

Desde então, a maioria dos aplicativos de segurança Android adicionou a detecção xHelper, o que significa que a maioria dos dispositivos já deve estar protegida contra esse tipo de malware.

Porém, a limpeza de um dispositivo é muito mais difícil do que pensamos, pois o xHelper continua voltando mesmo após uma reinicialização completa.

Vírus para Android continua voltando mesmo após uma restauração completa

Como isso é possível? Malwabytes diz que o xHelper não se baseia em malware pré-instalado junto com o firmware, mas usa o Google Play, que continua atendendo a infecção após uma redefinição completa do dispositivo ou uma limpeza bem-sucedida com um antivírus.

A Malwarebytes explica isso em uma nova análise do malware:

“O Google Play não foi infectado por malware. No entanto, algo no Google PLAY estava desencadeando a reinfecção – talvez algo que estivesse armazenado. Além disso, algo também pode estar usando o Google PLAY como cortina de fumaça, falsificando-o como fonte de instalação de malware quando, na realidade, vinha de outro lugar.”

Esse fornecedor de segurança detalha o caso de um cliente cujo dispositivo foi infectado pelo xHelper. Após uma inspeção mais detalhada dos arquivos armazenados no telefone Android comprometido, foi descoberto que um Trojan dropper foi incorporado a um APK localizado em um diretório chamado com.mufc.umbtts.

A pior parte é que os pesquisadores ainda não sabem como o Google Play é usado para desencadear a infecção.

Os pesquisadores do Malwarebytes explicam que:

“Aqui está a parte confusa: em nenhum lugar do dispositivo parece que o Trojan.Dropper.xHelper.VRW está instalado. É nossa convicção que ele foi instalado, executado e desinstalado novamente em segundos para evitar a detecção – tudo por algo acionado pelo Google Play. O “como” por trás disso ainda é desconhecido.”

Para limpar a infecção, os usuários precisam primeiro desativar a loja Google Play e, em seguida, executar uma verificação do dispositivo com um antivírus. Caso contrário, o malware continuará voltando, apesar do vírus aparentemente ter sido removido.

O que está sendo falado no blog

Sair da versão mobile