xhelper — что за файл в Андроиде, как удалить вирус на телефоне?

Привет бро! Способов заражения телефона вредоносным приложением — множество, большинство случаев связано с неопытностью пользователей, загружающие программы/игры из сомнительных/левых веб-сайтов.

Самый опасный вид внедрения зловреда на Андроид — когда файл вшит в прошивку. Явление часто встречается на дешевых китайских брендах, нонеймах, копиях. Да, исправить можно — модифицировать прошивку (firmware), однако необходимы знания и опыт.

На состояние 5 апреля 2019 года антивирусы, представленные в маркете Google Play, не находят угрозы в файле xhelper. Сейчас — Аваст видит опасность, возможно другие популярные антивирусы — тоже.

Напоминает случай с другим похожим приложением — RADIOSUL, которое со временем было заблокировано в Гугл Плей.

xhelper на Андроид — что это за вирус?

Файл xhelper (com.mufc.fireabc) — предположительно рекламный вирус, часто обнаруживается вместе с kprotect (коллега по цеху). Встречается в смартфонах китайского производства — Doogee Valencia2 Y100 Plus, FinePower F1, Micromax и др.

Вообще вирусы в китайских дешевых смартфонах — дело частое. Интересно — сперва все может быть гладко. Но используя устройство некоторое время, можно заметить появление непонятных приложений, которые могут и батарею кушать.. результат — иногда выскакивает реклама из ниоткуда. Все это дело рук рекламных/шпионских вирусов, код которых почему-то зашит в прошивке, грубо говоря перепрошивка смарта — не поможет.

Свойства файла xhelper:

Антивирус обнаруживает угрозу под кодовым названием:

Android.RemoteCode.4411 (com.mufc.fireabc)

Варианты инсталляции вируса

  1. Автоматическая установка после удаления.
  2. Запуск установки ночью.
  3. Иногда один раз в сутки.

В зависимости от версии зловреда, могут использоваться разные механизмы заражения и автовосстановления.

Файл xhelper версии 7.0 в Titanium Backup:

Весь процесс инсталляции проводится в скрытом/фоновом режиме. Антивирусы могут не детектить процесс установки.

Поведение вируса на Андроид

Показывает рекламу разными способами:

  • Показывая поверх всех окон.
  • Встраивая в установленный софт
  • Способен слать рекламные уведомления.

Рекламироваться могут видео-игры.

Иногда появляется после запуска WhatsApp — все дело в том, что версия WhatsApp возможно не совсем правильная — модифицированная. Нужно удалить и установить оригинальную. При трудностях попробуйте скачать чистую версию WhatsApp через сторонний магазин Yalp Store (скачивает непосредственно с гугловского маркета в виде apk-файлов).

Опасные функции вируса:

  1. Файл самовостанавливается после удаления.
  2. Способен загружать другие подобные вредоносные файлы, производить установку в фоновом режиме.
  3. У одного юзера данная зараза наподключала платных подписок — итоге было списание денег. В таком случае попробуйте зайти в личный кабинет (ЛК) оператора Подключенные услуги > Сервисы, где нужно попробовать отключить подписки.
  4. Возможно использование полиморфных технологий защиты от обнаружения антивирусами.

Могут присутствовать другие странные файлы/приложения — Yeelight, Greater Kashmir, H2O Free Icon Pack 4.9, K-9 Mail 5.403, вышеупоминаемый kprotect и другие. Некоторые могут быть опасными — являться вирусом, трояном, либо рекламным/шпионским модулем.

При возможности поменяйте пароли соц.сетей, почтовых аккаунтов, гугловской учетки.

Вирус в списке установленного софта Андроида:

Свойства файла xhelper:

Откуда берется вирусный файл в телефоне Андроид?

  1. Скорее всего вшит в прошивку, пользователи пишут — удаляют, но он возвращается вновь.
  2. Использование левых сайтов для скачивания программ, игр и другого софта.
  3. Причиной появления зловредов может быть установленный сторонний магазин приложений (не Google Play Store).

На заметку. Установка root-прав — частая причина возникновения будущих неприятностей с смартфонов. Рут права — открытая дорога зловредам.

Не знаю насколько правда, но читал в интернете, что на самом деле в прошивках вирусов нет. Но в ней могут быть уязвимости, использующиеся для внедрения вирусов. Правда схема работы неясна, разве извне сканируются через интернет смартфоны на предмет наличия уязвимости? (первое что в голову пришло)

Как удалить файл xhelper с Андроида?

Способы удаления:

  1. Ограничьте права xhelper и другому подозрительному/вирусному софту.
  2. Брандмауэром (например AFWall+) заблокируйте файлу доступ в интернет.
  3. Заморозьте работу xhelper инструментом Titanium Backup (нужны root-права). На фоне механизма самовосстановления — наиболее вероятное решение.
  4. Сменить прошивку — поставить очищенный сток либо последнюю официальную с сайта производителя.
  5. Если прошивка стоковая — выполните откат на фабричное состояние. Как только система приведена в нулевое состояние — установите качественный антивирус, например Avast, Kaspersky, Dr.Web Light, 360 Security, Comodo, Norton, BitDefender. Аваст 200% обнаруживает данную заразу. Одновременно антивирусы устанавливать не нужно, однако если не поможет один, то стоит попробовать другой.
  6. В случае, когда ничего не помогает — возможно в одном из установленных приложений Андроид вшит вирусный код. Грубо говоря причина может быть в совсем другой программе, при запуске которой — происходит активация вируса.
  7. Попробуйте установить более старую версию прошивки, например предыдущую (в ней может отсутствовать вирусный файл).
  8. Отключите активность/уведомления зловреда (картинки ниже).
  9. Выполните действия: откройте окошко сведения о приложении > отключить, очистить кэш, стереть данные.
  10. Попробуйте удалить файл xhelper стандартным методом, после — в настройках отключите установку приложений из неизвестных источников.

Запретите активность xhelper путем редактирования разрешений (прав):

Отключите на Андроиде уведомления xhelper:

Проверьте исходящие СМС. Может быть смс в отправленных на платную услугу. Смсок может быть несколько, сравните когда была отправлена первая и когда было установлено xhelper.

Заключение

Главное выяснили:

  1. xhelper — рекламный зловред на Андроид, с упоминанием в названии слова helper, перевод которого — помощник, цель названия- ввод в заблуждение пользователя (уловка вирусописателей).
  2. Проблема удаления на Андроиде — не так критична, как проблема самовосстановления вируса. Поэтому вариант — не удалять, а заморозить титаниумом.

Надеюсь информация помогла. Удачи.

На главную! 11.06.2019


Comments

  1. Спасибо за информацию, антивирусом пробовал но он его не удаляет но окошко не всплывает, удалил антивирус и вирус на месте как не в чём не бывало, вывод антивирус нужно оставить.

Добавить комментарий

Your email address will not be published / Required fields are marked *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.