XHelper est un malware qui affiche des publicités à l’insu du propriétaire. Le but est simple pour les créateurs de ce virus : faire un maximum d’argent en contaminant le plus d’appareils possible. Et même si vous savez très bien qu’il faut se méfier des APK en dehors du Google Play Store, ce n’est pas le cas de tout le monde ! Identifié par l’équipe de Symantec, XHelper est particulier, car il résiste non seulement aux antivirus, mais il a la capacité de se réinstaller via Internet même après une réinitialisation d’usine ! Tout se fait en arrière-plan sans que l’utilisateur ne soit averti d’un téléchargement ou d’une installation.
Selon les créateurs de Norton Antivirus, le virus a contaminé plus de 45 000 appareils. Pas très impressionnant comme chiffre puisque ce dernier a été détecté il y a 6 mois : cela veut certainement dire que certaines marques ou certains modèles sont plus «sensibles» à l’attaque que d‘autres. Mais pas de panique, le virus n’a pas été détecté sur le Play Store puisqu’il sévit depuis des applis contaminées téléchargées sur des magasins alternatifs russe, indien et américain. Pour l’instant les mécanismes de XHelper sont assez peu connus : Symantec parle d’une injection de code malicieux dans une couche du smartphone qui n’est pas réinitialisé en cas de remise à zéro. Bien sûr, il ne laisse aucune trace sur l’écran d’accueil et il faudra aller voir dans les services pour détecter son activité : chose que les utilisateurs font très rarement bien sûr.
Une solution ?
En attendant un éventuel outil de désinfection dédié, les utilisateurs sont donc «bloqués» avec leurs appareils qui affichent de la publicité. Sur Reddit, les contributeurs ont néanmoins trouvé une solution temporaire : désactiver toutes les permissions de XHelper : le malware est toujours présent, mais il ne peut rien faire… C’est mieux que rien.
