Az xHelper elnevezésű trójai program mintegy 45.000 eszközt fertőzött meg a tavalyi év során. Azóta számos kiberbiztonsági szakértő igyekezett megfejteni, hogy miben rejlik a káros szoftver fertőzési módjának hatékonysága és miért marad jelen az eszközön a rosszindulatú program még a gyári visszaállítást követően is. A kérdésre végül Igor Golovinnak, a Kaspersky Lab egy malware-elemzőjének sikerült megoldást találnia. Az elemzés szerint a támadók egy káros kódot juttatnak a céleszközre, amely egy tisztító és sebesség-optimalizáló háttéralkalmazásnak álcázza magát, azonban ennek nyoma csak a rendszerbeállításokban lévő alkalmazáslistában látható. A káros kód észrevétlenül rendszer-információkat gyűjt és küld a támadók távoli webszerverének, valamint adminisztrátori jogosultságot szerez a fertőzött eszközön, amivel hátsó ajtókat (backdoors) épít ki, hogy a háttérben – a támadók parancsára – telepíthesse az xHelper alkalmazás csomagfájljait, amiket közvetlenül bemásol – az adminisztrátori jogokkal írható módban újracsatolt – rendszer (/system/bin) mappába. Az xHelper törlését az nehezíti meg, hogy a célmappában lévő összes fájl megváltoztathatatlan attribútummal rendelkezik, így a magasabb jogosultsággal bíró felhasználók sem képesek fájlok törlésére a mappából. Ami még érdekesebb, hogy amennyiben egy biztonsági alkalmazás, vagy a felhasználó manuálisan, maga próbálja eltávolítani a káros alkalmazást a rendszerpartíción keresztül, nem lesz képes rá, ugyanis az xHelper a rendszerkönyvtárat (libc.so) is módosítja, oly módon, hogy a rendszerpartíciót ne lehessen újra írható módban újracsatolni. A szakértő szerint a rendszerpartíció helyreállítható a készülék firmware-jén keresztül. Az érintett felhasználóknak a káros kód eltávolítása érdekében – az egyszerűség kedvéért – mégis a gyártó weboldalán lévő legfrissebb firmware letöltését és telepítését javasolják.
