Xhelper se considera una amenaza persistente avanzada (APT, por sus siglas en inglés), ya que es capaz de permanecer en los dispositivos móviles tras desinstalar la 'app' e incluso después del reseteo, según explica un informe de Symantec.
Este 'software' malicioso se esconde del usuario y no se muestra en la lista de 'apps' instaladas, ya que no ofrece una interfaz de usuario normal, sino que es solo un componente, y tampoco puede activarse de forma manual, ya que no instala ningún icono.
Xhelper se activa a través de eventos externos, como cuando el dispositivo se conecta o desconecta de una fuente de alimentación, cuando se instala o desinstala una aplicación e incluso cuando el móvil se resetea. El 'malware' funciona en segundo plano para no resultar afectado por el ahorro de batería y está programado para reiniciarse automáticamente si se detiene.
Una vez logra acceso al dispositivo, este virus carga su código malicioso en la memoria y conecta al dispositivo al servidor de los cibercriminales, desde donde difunde diversos programas maliciosos para el robo de datos o incluso hacerse con el control del móvil, y otros usuarios también se han visto afectados por 'malware' publicitarios.
La aplicación ha afectado a 45.000 usuarios de móviles con sistema Android en todo el mundo en los últimos seis meses, desde su detección en marzo, aunque estos se concentran especialmente en Rusia, India y Estados Unidos. Ninguna de las aplicaciones afectadas se encontraban en Google Play.