Ein Betriebssystem, das auf sehr vielen Systemen zum Einsatz kommt, ist aus Sicht eines Angreifers natürlich ein lukratives Ziel. Neben Windows ist daher auch – gerade im Bereich der Mobilgeräte – Android ein beliebtes Ziel für Schadsoftware. Im Blog von Symantec sowie auf androidcentral ist Ende Oktober auf eine außergewöhnlich hartnäckige Schadsoftware mit dem Namen „xHelper“ eingegangen worden.

Laut Symantec hat „xHelper“ in den letzten sechs Monaten über 45.000 Geräte infiziert und macht durch Werbe-Popups sowie unerwünschte sonstige Meldungen auf sich aufmerksam. „xHelper“ besitzt keine grafische Oberfläche, da sich diese Schadsoftware als Programmkomponente und nicht als eigenständige Applikation ausgibt. Sie wird daher nicht im Anwendungsstarter gelistet und ist für den Benutzer nur schwer zu entdecken. „xHelper“ wird bei verschiedenen Ereignissen wie Trennung oder Verbindung mit der Stromversorgung, bei einem Geräteneustart oder bei der Deinstallation/Installation anderer Anwendungen ausgeführt.

Was macht „xHelper“ so perfide?

Sobald die Schadsoftware gestartet ist, nistet sie sich als im Vordergrund laufender Dienst ein, was zur Folge hat, dass auch bei hoher Speicherauslastung die Schadsoftware nicht beendet wird, sondern Android ggf. eher andere Anwendungen beenden würde, um Speicher freizubekommen. Sollte der „xHelper“-Dienst doch einmal beendet werden, startet er sich in kurzer Zeit wieder neu. Besonders unangenehm ist die Tatsache, dass „xHelper“ auch einen Factory-Reset (eigentlich die sichere Holzhammer-Methode, um ein Gerät in den Urzustand zurückzusetzen) übersteht.

Wer ist betroffen?

Bislang sind fast ausschließlich Benutzer aus Indien, den Vereinigten Staaten und Russland betroffen und sehr häufig Telefone bestimmter Marken (jedoch nicht näher genannt), sodass Symantec davon ausgeht, dass die Angreifer es vorwiegend auf einen bestimmten Nutzer- und Markenkreis abgesehen haben.

Wo kommt „xHelper“ her und wie kann man vorbeugen?

Keine der von Symantec analysierten „xHelper“-Muster/Varianten waren im offiziellen Google Playstore zu finden, sodass die Installation wahrscheinlich über eine unbekannte Quelle gekommen ist. Standardmäßig ist eine App-Installation aus unbekannten Quellen deaktiviert.

• Generell empfiehlt es sich, immer wachsam zu sein und insbesondere bei der Installation von Apps darauf zu achten, welche Berechtigungen eine App haben möchte (Bsp: Eine Foto-App möchte auf die Kamera zugreifen? Das ist nachvollziehbar! … Eine Notiz-App möchte auf das Adressbuch, das Telefon, das Mikrofon sowie den geschützten Speicher zugreifen und verlangt vollen Internetzugriff? Da sollte man skeptisch werden!)
• Apps möglichst nur aus dem offiziellen Google Playstore installieren (ist zwar kein Garant für absolute Sicherheit, aber in der Regel sicherer als dubiose Drittquellen)
• Das Android Betriebssystem auf dem aktuellen Stand halten (also Sicherheitsupdates installieren, wenn verfügbar)
• Die installierten Apps (z. B. Webbrowser wie Chrome oder Firefox) auf dem aktuellen Stand halten
• Die Installation einer geeigneten Schutzsoftware gegen Viren, Malware u. ä. (aber bitte beachten: Genau wie unter jedem anderen Betriebssystem gilt auch bei Android, dass eine installierte Antiviren-Software kein Garant für absolute Sicherheit gegen Schadsoftware ist!). Es ist ein zusätzlicher Schild, der helfen kann.