Ci sono dei malware Android particolarmente "insistenti", in grado di resistere persino al ripristino ai dati di fabbrica. In particolare, nell'ultimo periodo ha fatto parlare molto di sé uno strumento utilizzato dai malintenzionati per infettare i dispositivi di molti ignari utenti.

Ci riferiamo a xHelper, di cui abbiamo già parlato a ottobre 2019. In quel periodo, il malware aveva infettato circa 45.000 dispositivi, ma sembra che stia continuando a creare problemi anche in questo momento, puntando principalmente utenti indiani, statunitensi e russi. Stando a Symantec, si tratta di uno dei dieci malware più pericolosi attualmente in circolazione, dato che può risultare difficile da rilevare ed è in grado di scaricare software e visualizzare annunci pubblicitari indesiderati.

Tuttavia, finora gli esperti di sicurezza non erano ancora riusciti a capirne il funzionamento. Infatti, il "meccanismo" utilizzato dai malintenzionati è piuttosto complesso. Stando anche a quanto riportato da Gizchina e come spiegato dal team di Kaspersky, xHelper è in grado di installarsi da solo in una partizione del sistema, che generalmente verrebbe utilizzata dal sistema operativo con permessi read-only (sola lettura).

Questo significa che Android non va a "scrivere" su quella partizione, dato che non ne ha i permessi, e xHelper riesce quindi a rimanere all'interno del dispositivo anche dopo un factory reset (ripristino ai dati di fabbrica). Non servono a nulla anche i permessi di root, dato che il malware è in grado di rimuovere tutte le app di questo tipo (es. Superuser). Come se non bastasse, xHelper riesce pure a modificare la partizione in cui si installa, in modo da non consentire alcun tipo di cambiamento. Così facendo, l'utente non può fare molto per rimuovere il malware. In parole povere, i malintenzionati sono riusciti a "piazzare" xHelper tra i file di sola lettura del sistema operativo, facendo pensare ad Android che si tratti di "codice interno".

Essenzialmente, l'unico metodo per sbarazzarsi del malware è quello di eseguire il flash di un'immagine di sistema originale. A tal proposito, è stato scoperto che online stanno girando delle immagini di sistema con xHelper già presente al loro interno. Insomma, stiamo parlando di un malware particolarmente pericoloso.

In ogni caso, sembra che i dispositivi più colpiti siano quelli che montano le versioni 6 e 7 di Android e che gli utenti che hanno aggiornato il sistema operativo del robottino verde siano molto meno vulnerabili a questo tipo di malware. Tuttavia, è bene essere a conoscenza dell'esistenza di problemi di sicurezza come xHelper.