Android: Nicht entfernbare, aggressive Malware aufgetaucht
Stell Dir deinen schlimmsten Malware-Albtraum vor, denn er könnte jetzt wahr geworden sein. Eine nicht entfernbare, aggressive Malware ist nun aufgetaucht.
ZDNet berichtet über einen bestimmten „Stamm“ von Malware, der in der Lage ist, sich selbst neu zu installieren. Dies macht es für Android-Nutzer fast unmöglich, diesen zu entfernen. Die als xHelper bekannte Malware wurde erstmals im März entdeckt und hatte fünf Monate später bereits 32.000 Smartphones infiziert.
Die Zahl ist nun im Oktober bereits auf 45.000 angewachsen. Laut Symantec werden jeden Tag 131 neue Mobiltelefone infiziert, etwa 2.400 pro Monat.
Die Malware zeigt Popup-Werbung und Benachrichtigungs-Spam an. Dies bringt den Hintermännern Einnahmen. Es werden auch Aufforderungen zur Installation von Premium-Websites angezeigt. Einige dieser Apps enthalten auch den xHelper-Trojaner.
Sobald eine der infizierten Anwendungen installiert ist, wird xHelper als separater Download installiert. Das Entfernen der ursprünglichen Anwendung ist auch nicht mehr möglich.
Tatsächlich werden Android-Nutzer xHelper nie loswerden, da es auch nach einem Werksreset neu installiert wird! Dies bleibt sowohl für die Softwareentwickler Symantec als auch für Malwarebytes ein Rätsel.
Beide sagen, dass xHelper nicht im Android-Betriebssystem oder Systemanwendungen hinterlegt wird. Und einige Opfer fanden heraus, dass selbst nach dem Entfernen von xHelper und dem Deaktivieren der Option „Apps aus unbekannten Quellen installieren“ die Malware direkt auf dem Smartphone des Benutzers wieder auftaucht.
Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!
Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Facebook, abonniere meinen Telegram-, WhatsApp-, X/Twitter- oder Mastodon-Kanal oder RSS-Feed!
Irgendwo hat jede Malware einen Schwachpunkt und dieser gilt es zu finden normalerweise sollten Apps aus dem Google Play nicht betroffen sein da solche direkt entdeckt wird und sofort von Google entfernt wird.
Bestimmt kann diese nur installiert werden wenn aus unbekannten Quellen Apps geladen werden.
Was ich mal vorschlagen könnte der Programmierer ist die Endung APK zu löschen denn ohne eine Endung gibt es keine Installation.
Der Trojaner wird das Handy vermutlich durch Exploits rooten und sich in den Bootloader schreiben. Über den Bootloader wird es nach einem Reset gleich mitinstalliert. Anders lässt sich die Sache nicht erklären.
Und was ist mit den Recovery-Reset
Zum Problem „Wo versteckt sich xHelper?“
Nach Werk-reset wird sich doch wieder bei google angemeldet.
Kann es möglich sein, daß der/die xHelper-Entwickler es geschaft haben, hier die sofortige Neu-Installation auszulösen indem bei Erstinfizierung ein entsprechender Befehl auf den Nutzerkonten versteckt wird. Die Geräte sind ja permanent mit dem Konto im Datenaustausch, man schaufel diese evtl. Code selbst aufs Konto.
Dann wäre ja auch die komplette Neuinstallation eines Andriod OS für die Katz.
Nur so eine Idee.
Den selben Gedanken hatte ich ebenfalls. Das x helper dank abgleich mit dem Konto sich so immer wieder drauf mogelt. Weil beim wieder einrichten automatisch auch die zum Zeitpunkt der letzten Konto synchronisierung installiert Apps wieder Installiert werden.
Und die Garantie bei Samsung auch !
Im Prinzip einfach zu lösen.
Handy rooten. Custom recovery Flashen.
Damit dann das komplette System löschen.
Damit sind alle Dateien weg, inklusive des kompletten Android Systems.
Der Speicher des Handys enthält damit nichts mehr, nicht mal Android.
Dann die stock Rom, oder ne Custom Rom, runterladen und Flashen.
Zack, hat man ein neues, sauberes system.
Das habe ich mir eben auch gedacht. Am Schluss glaube ich, dass es sich natürlich noch auf einer, eventuell verfügbaren, sd Karte weg schreiben könnte. Aber dann ist natürlich die Frage, wie es denn dann installiert wird.
Dein Ansatz ist jedoch mit einem Garantieverlust verbunden. Kann man da nicht eventuell mit einer Werkstatt zusammen flashen?