Este tipo de malware usa uma técnica de persistência avançada para que, depois de o utilizador desinstale manualmente, consiga instalar-se de novo.

Foi reportado pela primeirz vez em outubro do ano passado, quando já tinha mais de 45 mil instalações.

Os investigadores acreditam que o malware tem a capacidade de se esconder da deteção e que, dentro de uma hora, está de novo instalado no dispositivo. Mesmo após um reset de fábrica, o malware é instruído para se instalar e continuar no dispositivo. Muitos utilizadores reportaram ter suprimido a atividade do malware desativando as permissões e bloqueando-as usando software de bloqueio de aplicações.

Caso as permissões da app sejam alteradas, isto é, se o utilizador tentar negar as permissões usadas pelo malware sem o desinstalar, volta tudo ao mesmo, isto é, as permissões são novamente ativadas.

Segundo o malwarebytes, pelo ficheiro apk associado ao malware, a assinatura do trojan é Android/Trojan.Dropper.xHelper.VRW, que é responsável por lançar a variante do xHelper, que consequentemente lança o malware em segundos.

Mais informações no bloque do malwarebytes: https://blog.malwarebytes.com/android/2020/02/new-variant-of-android-trojan-xhelper-reinfects-with-help-from-google-play/