По словам специалистов из компании Symantec, за последние полгода вредоносное ПО уже успело заразить более 45 тыс. Android-устройств и продолжает распространяться, инфицируя в среднем 2,4 тыс. устройств в месяц.
Xhelper является компонентом приложения и не предоставляет обычный пользовательский интерфейс. Он не отображается на панели запуска приложений. Вредонос запускается при помощи внешних событий, инициированных пользователем, например, подключении/отключении от источника питания, перезагрузки телефона или установки приложений. После запуска вредоносная программа регистрируется в качестве основной службы, тем самым снижая риск отключения при нехватке памяти. Заразив устройство жертвы, Xhelper расшифровывает в память вредоносную полезную нагрузку. Данный модуль подключается к C&C-серверу злоумышленника и ожидает команды. После успешного подключения к C&C-серверу на скомпрометированное устройство могут быть загружены дополнительные вредоносные модули, например, дропперы, кликеры и руткиты.
Впервые исследователи обнаружили Xhelper в марте 2019 года. На тот момент функционал вредоносного ПО был относительно простым, и его основной функцией было посещение рекламных страниц с целью монетизации. Однако за прошедшее время вирусописатели расширили функционал Xhelper, добавив возможности ухода от обнаружения. Судя по всему, вредоносное ПО все еще находится в стадии разработки, считают специалисты.
Исследователям не удалось определить каналы распространения вредоноса. Поскольку в Google Play Store вредонос обнаружить не удалось, специалисты полагают, что Xhelper может загружаться из неизвестных источников либо с помощью вредоносного системного приложения, предустановленного на некоторых смартфонах. Судя по числу заражений, злоумышленников интересуют определенные марки смартфонов (названия торговых марок не указываются). Наибольшее число инфицированных устройств наблюдалось в Индии, США и России.