Scoperti i segreti di xHelper, il malware resiliente di cui non ci si liberava nemmeno dopo un factory reset

Nel corso delle nostre periodiche panoramiche sui più diffusi e pericolosi malware del mondo Android, lo scorso ottobre vi abbiamo parlato di xHelper, un software malevolo a dir poco fuori dall'ordinario: era infatti in grado di resistere persino al ripristino delle condizioni di fabbrica dei dispositivi che infettava, proseguendo nei suoi effetti indesiderati. I ricercatori informatici non si capacitavano di una natura così resiliente, ma ora, dopo mesi di studio, i suoi segreti sono stati svelati.

xHelper è infatti uno dei malware più sofisticati mai apparsi nel panorama Android, in grado di installarsi in una partizione dedicata della memoria interna di un dispositivo e di cambiarne i connotati, in modo che persino un factory reset – la più drastica ed efficace delle contromisure – la lasciasse intatta.

Per farlo, si serviva di un rootkit per ottenere i privilegi di root ed impedire che la partizione prescelta potesse essere scrivibile o cancellabile.

L'unico modo per sbarazzarsene consiste nel flashare da recovery una rom più sicura – spesso infatti attaccava firmware colabrodo cinesi basati su Android 6 o 7 – ovvero un procedimento fuori portata per l'utente medio.