xHelper 是一种 Android 恶意软件，安全厂商 Malwarebytes 于 2019 年 5 月检测到了它的存在。这是一个隐蔽的恶意软件删除程序，即使在用户恢复出厂设置以后，该恶意软件还是会重新感染，从而给全世界的用户带来了持续困扰。

Malwarebytes 的安全研究人员一直在研究该威胁，在近日发布的一篇博客文章中，该团队表示，尽管仍未弄清楚该恶意软件如何自行重新安装，但他们确实已经发现了有关其操作方式的足够信息，以便永久删除它，并防止 xHelper 在恢复出厂设置后重新安装自身。

据 Malwarebytes 小组透露，xHelper 找到了一种使用 Google Play Store 应用内的进程来触发重新安装操作的方法。借助在设备上创建的特殊目录，xHelper 可以将其 Android 应用程序包（Android application package，APK）隐藏在磁盘上。与应用程序不同，即使在恢复出厂设置后，其目录和文件仍保留在 Android 移动设备上。因此，在删除目录和文件之前，设备将继续受到感染。

Malwarebytes 在对恶意软件的分析中解释道，“Google Play 未感染恶意软件。但是，Google Play 中的某些事件触发了重新感染-可能是某些东西正在存储中。此外，有些东西可能还会将 Google Play 用作烟幕，从而将其伪装为恶意软件的安装来源，而实际上它来自其他地方。”

删除 xHelper 的方法

值得注意的是，以下删除步骤依赖用户安装适用于 Android 的 Malwarebytes 应用程序，不过该应用程序可免费使用。

具体删除步骤如下：

• 从Google PLAY 安装文件管理器，该文件管理器可以搜索文件和目录。
  • Amelia 使用了 ASTRO 的 File Manager。
• 暂时禁用 Google PLAY 以停止重新感染。
  • 转到设置 > 应用 > Google Play 商店
  • 按禁用按钮
• 在 Android 的 Malwarebytes 中运行扫描，以删除 xHelper 和其他恶意软件。
  • 手动卸载可能是困难的，但是要在“应用程序”信息中查找的名称是 fireway，xhelper 和“设置”（仅在显示两个设置应用程序的情况下）。
• 打开文件管理器并搜索以 com.mufc 开头的任何内容。
• 如果找到，记下最后修改日期。
  • 专业提示：在文件管理器中按日期排序
  • 在 ASTRO 的文件管理器中，您可以在视图设置下按日期排序
• 删除以 com.mufc 开头的所有内容。以及具有相同日期的任何内容（除了核心目录，如 Download）：

• 重新启用 Google PLAY
  • 转到设置 > 应用 > Google Play 商店
  • 按启用按钮