Considerado 'quase impossível' de remover, cavalo de troia xHelper modifica arquivos de sistema 'intocáveis'. Praticamente qualquer vírus ou programa de espionagem para celular pode ser removido com a redefinição ou restauração do aparelho às configurações de fábrica, que apaga todos os arquivos e aplicativos instalados. Um vírus para Android, conhecido como xHelper, no entanto, desafia essa ideia e consegue permanecer no telefone.
O truque usado pelo vírus para realizar essa façanha foi desvendado pelo especialista Igor Golovin, da fabricante de antivírus russa Kaspersky. Após ser instalado no aparelho, o vírus explora vulnerabilidades no Android para obter acesso "root" (superusuário) e acrescentar arquivos à partição do sistema – um local que normalmente não pode ser modificado por nenhum aplicativo.
Como o sistema supõe essa partição é intocável, ela não é limpa pela restauração das configurações de fábrica. Depois da restauração, os arquivos do vírus presentes nessa partição serão novamente carregados, reinstalando o xHelper.
O xHelper utiliza outro truque muito agressivo para que o usuário não consiga removê-lo: o bloqueio da mesma partição de sistema onde ele guarda seus arquivos. Ele faz isso modificando o arquivo de sistema "libc.so" com um código que afeta um comando chamado "mount". Esse comando precisa ser usado para destrancar a partição de sistema, mas não vai funcionar corretamente com o arquivo "libc.so" adulterado.
Em outras palavras, o vírus faz modificações na partição de sistema e depois toma medidas para que o usuário não consiga desfazê-las.
Embora antivírus de Android sejam incapazes de remover o xHelper, muitos conseguem detectar a presença do vírus no aparelho. De acordo com a Kaspersky, os russos são os que mais sofrem com o vírus (80,56% dos casos), mas a praga também é encontrada no Brasil (0,24% dos casos).
Brasil teve 0,24% dos casos de xHelper identificados pela Kaspersky em 2019 e 2020. Rússia é o país mais afetado, com 80,56% dos casos
Divulgação/Kaspersky
De acordo com Golovin, da Kaspersky, é "extremamente perigoso" usar um smartphone contaminado com o xHelper. "O malware instala um 'backdoor' com a capacidade de executar comandos como superusuário. Ele fornece acesso total aos dados de aplicativos para os atacantes e pode ser usado por outros malwares, como o CookieThief [que rouba dados de autenticação]", explicou o analista.
A operação de "reflash" é a mais indicada e simples para eliminar o xHelper. Esse procedimento é semelhante à reformação de um computador e instala um sistema novo, normalmente fornecido pelo fabricante. Porém, os dispositivos mais vulneráveis ao xHelper são modelos de fabricantes chineses menos conhecidos – e alguns deles têm pragas digitais embutidas no próprio sistema, o que exige a busca por uma versão do Android alternativa.
Se não houver uma versão atualizada e segura do Android disponível para um aparelho contaminado pelo xHelper, o descarte do celular pode ser a única opção segura.
A remoção manual do vírus é possível, mas é extremamente trabalhosa. Ela exige a restauração do "libc.so" a partir de uma cópia limpa original do sistema, seguida da eliminação dos arquivos antes "intocáveis".
Android atualizado e Play Store evitam ataques
O xHelper é distribuído em lojas de aplicativos "alternativas" do Android, normalmente como um "otimizador de desempenho" ou "eliminador de arquivos desnecessários". Depois de ser instalado, o aplicativo some da gaveta de apps e só pode ser removido pela lista nas configurações de sistema. No entanto, se o componente de persistência foi instalado com sucesso, o vírus retornará ao sistema imediatamente.
Como o xHelper só aparece em lojas alternativas, instalar aplicativos exclusivamente na Play Store – a loja oficial do Android – ajuda a limitar a exposição a esse e outros códigos maliciosos. Embora nem todos os programas na Play Store sejam confiáveis, ataques mais agressivos, como o xHelper, normalmente não passam nos filtros da loja do Google.
A atualização do sistema também blinda o aparelho contra esse vírus. A praga digital precisa explorar falhas no Android para conseguir realizar modificações no sistema e, na versão atual do vírus, essa exploração só funciona em aparelhos com Android 6 e 7, enquanto a versão mais atual é a 10.
De acordo com a Kaspersky, certos modelos de celulares chineses são mais vulneráveis, mas a companhia não explicou a razão. O componente do xHelper responsável por explorar essas falhas no sistema é o vírus Triada. O Triada é notório por ter sido pré-instalado de fábrica em vários aparelhos de pequenas marcas chinesas, muitas delas sem certificação do Google – a ausência da Play Store no aparelho é o principal indício de que ele não foi certificado.
Celulares só recebem atualização de sistema por alguns anos, e fabricantes omitem detalhes.
Por essa razão, usuários devem procurar telefones que recebam atualizações frequentes e que sejam de marcas conhecidas e homologados pela Agência Nacional de Telecomunicações (Anatel). Atualmente, os únicos aparelhos com Android com atualizações frequentes garantidas pelos fabricantes são os da linha Android One e o Pixel do Google, que não é comercializado no Brasil.
Dúvidas sobre segurança, hackers e vírus? Envie para
[email protected] 
