O malware xHelper, identificado pela primeira vez em 2019, continua sendo uma das ameaças mais difíceis de erradicar em dispositivos Android. Especialistas da Kaspersky classificam o código malicioso como um Trojan Dropper, capaz de reinstalar-se mesmo depois de procedimentos comuns de limpeza, incluindo a restauração de fábrica.

Como o xHelper age

De acordo com análise publicada em abril de 2020 pelo pesquisador Igor Golovin, no blog Securelist da Kaspersky, o xHelper costuma se apresentar como um aplicativo legítimo de limpeza de sistema. Após a instalação, o programa se oculta, permanece em segundo plano e passa a coletar dados do usuário, enviando as informações para servidores controlados por criminosos.

O malware também faz o download de outros códigos maliciosos que obtêm privilégios avançados, modificam arquivos internos e instalam scripts executados a cada inicialização do aparelho. Esses scripts protegem os arquivos criados e até desativam aplicativos que gerenciam permissões de acesso.

Por que é tão difícil removê-lo

O xHelper se aloja em áreas do sistema que não são afetadas por um reset de fábrica. Mesmo quando removido manualmente, ele pode reinstalar-se automaticamente usando componentes ocultos ou por meio de outros malwares já presentes no dispositivo. Segundo Golovin, a forma mais eficaz de eliminação envolve apagar completamente o sistema operacional e reinstalá-lo do zero.

Casos recentes

Em 2024, a Kaspersky detectou o xHelper disfarçado no aplicativo Open Browser, distribuído pela Google Play. O programa atuava como downloader oculto e instalava outros aplicativos sem o conhecimento do usuário. O caso foi detalhado em relatório publicado em novembro do mesmo ano.

Imagem: Shutterstock via olhardigital.com.br

A persistência demonstrada pelo xHelper indica que o malware segue ativo em 2025, aproveitando brechas no sistema Android e dificultando a remoção mesmo para usuários que recorrem a mecanismos de segurança padrão.

Com informações de Olhar Digital