xHelper, le virus pour smartphones qui affecte des dizaines de milliers d’appareils

En mars 2019, des spécialistes en cybersécurité ont découvert un nouveau malware nommé xHelper qui affecte les appareils Android. À cette époque, le logiciel avait pour fonction principale de visiter les pages publicitaires à des fins de monétisation. À cours des six derniers mois, l’application malveillante a beaucoup évolué.

D’après une télémétrie de Symantec, au moins 45.000 smartphones ont été touchés par le malware.

xHelper prend la forme d’un composant applicatif et ne fournit aucune interface utilisateur régulière. Au début, il s’immisce discrètement dans le système de l’appareil. Ensuite, il télécharge d’autres menaces et affiche des publicités. Selon les experts, le logiciel semble particulièrement cibler les utilisateurs basés en Inde, aux États-Unis et en Russie.

De nombreux utilisateurs se sont plaints sur des forums en ligne. Certains d’entre eux se sont sentis harcelés par les publicités pop-up aléatoires. Pourtant, le malware est très persistant. Il est capable de se réinstaller après avoir été désinstallé manuellement.

Un véritable cheval de Troie

Il est impossible de lancer xHelper manuellement, car il est dissimulé. L’application malveillante démarre automatiquement suite à un événement externe, comme lorsque l’appareil est connecté ou déconnecté d’une alimentation électrique, ou après qu’une application ait été installée ou désinstallée.

Dès que le logiciel est installé sur l’appareil, il commence par se connecter au serveur C&C. Puis, il télécharge d’autres programmes malveillants, comme des cliqueurs et des rootkits. Selon les experts, les fonctionnalités des autres virus stockés sur le serveur C&C sont probablement très variées.

Ainsi, grâce à eux, le hackeur serait potentiellement en mesure de dérober des données ou prendre le contrôle du terminal infecté.

D’après l’enquête, au cours du dernier mois, il y a eu en moyenne 131 smartphones infectés chaque jour, pour un total de  2 400 appareils infectés de manière persistante tout au long du mois.

Des précautions à prendre

L’origine du malware n’a pas été clairement définie. En tout cas, aucun échantillon analysé par les investigateurs n’était présent sur Google Play Store.

Les spécialistes en cybersécurité recommandent donc aux utilisateurs de prendre quelques précautions. Notamment de maintenir le logiciel à jour, de ne pas télécharger d’applications à partir de sources inconnues, de n’installer que des applications provenant de sources fiables et de faire attention aux demandes de permission faites par les applications.

Par ailleurs, ils suggèrent l’installation d’une application de sécurité mobile appropriée et de toujours sauvegarder les données importantes. Ce qui, finalement, ne surprendra personne. Symantec ne fait en effet que prêcher pour sa propre paroisse.