xHelper 是一種Android 惡意軟件，安全廠商Malwarebytes 於2019 年5 月檢測到了它的存在。這是一個隱蔽的惡意軟件刪除程序，即使在用戶恢復出廠設置以後，該惡意軟件還是會重新感染，從而給全世界的用戶帶來了持續困擾。

Malwarebytes 的安全研究人員一直在研究該威脅，在近日發布的一篇博客文章中，該團隊表示，儘管仍未弄清楚該惡意軟件如何自行重新安裝，但他們確實已經發現了有關其操作方式的足夠信息，以便永久刪除它，並防止xHelper 在恢復出廠設置後重新安裝自身。

據Malwarebytes 小組透露，xHelper 找到了一種使用Google Play Store 應用內的進程來觸發重新安裝操作的方法。借助在設備上創建的特殊目錄，xHelper 可以將其Android 應用程序包（Android application package，APK）隱藏在磁盤上。與應用程序不同，即使在恢復出廠設置後，其目錄和文件仍保留在Android 移動設備上。因此，在刪除目錄和文件之前，設備將繼續受到感染。

Malwarebytes 在對惡意軟件的分析中解釋道，“Google Play 未感染惡意軟件。但是，Google Play 中的某些事件觸發了重新感染-可能是某些東西正在存儲中。此外，有些東西可能還會將Google Play 用作煙幕，從而將其偽裝為惡意軟件的安裝來源，而實際上它來自其他地方。”

刪除xHelper 的方法

值得注意的是，以下刪除步驟依賴用戶安裝適用於Android 的 Malwarebytes 應用程序，不過該應用程序可免費使用。

具體刪除步驟如下：

• 從Google PLAY 安裝文件管理器，該文件管理器可以搜索文件和目錄。
  • Amelia 使用了ASTRO 的File Manager。
• 暫時禁用Google PLAY 以停止重新感染。
  • 轉到設置 > 應用 > Google Play 商店
  • 按禁用按鈕
• 在Android 的Malwarebytes 中運行掃描，以刪除xHelper 和其他惡意軟件。
  • 手動卸載可能是困難的，但是要在“應用程序”信息中查找的名稱是fireway，xhelper 和“設置”（僅在顯示兩個設置應用程序的情況下）。
• 打開文件管理器並蒐索以com.mufc開頭的任何內容。
• 如果找到，記下最後修改日期。
  • 專業提示：在文件管理器中按日期排序
  • 在ASTRO 的文件管理器中，您可以在視圖設置下按日期排序
• 刪除以com.mufc開頭的所有內容。以及具有相同日期的任何內容（除了核心目錄，如Download）：

• 重新啟用Google PLAY
  • 轉到設置 > 應用 > Google Play 商店
  • 按啟用按鈕