自2019年5月被安全廠商Malwarebytes曝光之後，Android惡意程序xHelper就一直是手機廠商重點關注的對象。自那時開始，大多數Android安全應用程序都添加了xHelper檢測，理論上意味著大多數設備應該已經受到保護，可以免受這種惡意程序的攻擊。但事實上，想要徹底清除xHelper要比我們想像中困難的多，即使恢復出廠設置依然存在。

根據Malwarebytes 的說法，這些感染的來源是“網絡重定向”，它會將用戶發送到託管Android 應用程序的網頁。這些網站指導用戶如何從Play 商店外部間接加載非官方的Android 應用。這些應用程序中隱藏的代碼將下載xHelper 木馬。

好消息是該木馬目前沒有執行破壞性操作，多數時間它會顯示侵入式彈出廣告和垃圾郵件通知。廣告和通知會將用戶重定向到Play 商店，並要求用戶安裝其他應用程序——通過這種方式，xHelper 從按安裝付費的方式中賺錢。

惱人的是xHelper 服務無法刪除，因為該木馬每次都會重新安裝自身，即使用戶對整個設備進行了出廠重置後也是如此。xHelper 如何在恢復出廠設置後得以生存仍然是個謎。不過，Malwarebytes 和賽門鐵克均表示xHelper 不會篡改系統服務和系統應用程序。

xHelper 最早發現於3 月。到8 月，它逐漸感染了32,000 多台設備。而截至去年10月，根據賽門鐵克的數據，感染總量已達到45,000。該惡意軟件的感染軌跡不斷上升。賽門鐵克表示，xHelper 每天平均造成131 名新受害者，每月約有2400 名新的受害者。

在最新Malwarebytes報告中，寫道：“即使Google Play沒有惡意程序，但是Google Play中的某些事件觸發了重新感染，可能是有某些文件存儲其中。此外這些東西可能將Google Play作為偽裝，從而安裝其他來源的惡意程序。 ”

安全供應商詳細說明了客戶的設備感染了xHelper的情況。在仔細檢查了受感染的Android 手機上存儲的文件之後，我們發現木馬程序已嵌入到位於com.mufc.umbtts目錄中的APK中。更糟糕的是，研究人員仍然不知道該漏洞如何使用Google Play觸發感染。

Malwarebytes研究人員解釋說：“這是令人困惑的部分：設備上沒有顯示Trojan.Dropper.xHelper.VRW的安裝。我們相信，它會在幾秒鐘內再次安裝，運行和卸載，以逃避檢測-所有這些都是由Google Play觸發的。 ”

要清除感染，用戶首先需要禁用Google Play商店，然後才使用防病毒軟件運行設備掃描。否則，儘管該病毒顯然已被刪除，但該惡意軟件仍將繼續傳播。