xHelper «contrae» instalando aplicaciones infectadas descargadas de sitios fuera de Play Store . El único consuelo leve es que, al menos por el momento, no es particularmente dañino, en el sentido de que no roba datos ni dinero. Sin embargo, muestra publicidad agresiva en forma de notificaciones, pancartas a pantalla completa y ventanas emergentes. La publicidad generalmente invita al usuario a instalar aplicaciones y juegos desde Play Store. Llamado xHelper, el troyano, que afecta principalmente a los usuarios de India, EE.UU. y Rusia, ha subido a la lista de los 10 principales malware móviles detectados, con Symantec observando lo que llama «un aumento en las detecciones» del malware malicioso de Android que puede ocultarse de los usuarios, descargar aplicaciones maliciosas adicionales y mostrar anuncios.
Si bien los orígenes exactos de la aplicación maliciosa empaquetada con el malware Xhelper se están investigando activamente. Symantec sospecha que la infección es posiblemente descargada por usuarios de fuentes desconocidas, a través de una aplicación de sistema malicioso que descarga constantemente el malware a pesar de que los usuarios realizan restablecimientos de fábrica y lo desinstalan manualmente. Los investigadores de MalwareBytes, creen que se está propagando a través de sitios web de juegos turbios que engañan a los usuarios desprevenidos para que descarguen aplicaciones de fuentes no confiables. Además de operar silenciosamente en segundo plano, xHelper lleva su comportamiento sigiloso a nuevas alturas al no crear un ícono de aplicación o un ícono de acceso directo en el iniciador de la pantalla de inicio. El único indicador es una lista en la sección de información de la aplicación de la configuración del teléfono infectado. La falta de un icono de aplicación significa que el malware no se puede iniciar manualmente. Para solucionar el problema, se basa en disparadores externos, como conectar o desconectar el dispositivo infectado de una fuente de alimentación, reiniciar un dispositivo o instalar o desinstalar una aplicación, para ejecutarse como un servicio en primer plano que minimiza la posibilidad de morir.
La buena noticia, es que el malware no hace nada particularmente sofisticado. Solo bombardea a los propietarios de dispositivos con anuncios emergentes intrusivos y envia spam al dispositivo con notificaciones para juegos gratuitos. Pero podría explotarse hábilmente para entregar cargas adicionales de malware de segunda etapa debido a sus tácticas de evasión meticulosamente diseñadas para evitar la detección. Esto podría transformar fácilmente el malware de una molestia de adware a una amenaza de seguridad significativa capaz de instalar otras aplicaciones maliciosas en el dispositivo o incluso controlarlo por completo de forma remota. Symantec dijo que la funcionalidad de xHelper se ha expandido drásticamente en los últimos tiempos. Los investigadores advierten que está evolucionando constantemente para apuntar a nuevas víctimas. El código inacabado, con muchas variables etiquetadas como ‘Jio’, lleva a los investigadores a sospechar que los atacantes quieren atacar a los usuarios de Jio en una fecha futura. Jio es la segunda red celular más grande en la India operada por Reliance Industries con más de 300 millones de suscriptores. Para proteger sus dispositivos de tales ataques, siempre se recomienda mantener actualizados los dispositivos y las aplicaciones. Atenerse a Google Play Store para descargar aplicaciones y tener mucho cuidado con los sitios web móviles que visita.