Az xHelper programok matrjoskaszerűen egymásba ágyazott rendszerét használja, és emiatt szinte kiirthatatlan.
A Google Play áruháza sem teljesen megbízható, de a vírus terjedése szempontjából a nem hivatalos letöltő helyek jelentik a fő veszélyt. A Google Play Protect szűrőjén is átjutnak fertőzött szoftverek, de a szolgáltatás tavaly így is közel kétmilliárd vírusos apptelepítést fülelt le. Viszont a "független" appáruházak teljesen megbízhatatlanok - olvasható a portálon.
Ez utóbbiak terjesztik az xHelpert, amely a mobil működését javító appnak álcázza magát, és telepítés után több lépcsőben, több trójait tölt le, majd teljes hozzáférést szerez a mobilhoz, és minden rajta található alkalmazást és adatot elérhetővé tesz a hekkerek számára.
A gyógymód a mobil reflashelése lehet, de előfordul, hogy még a gyárilag telepített firmware is fertőzött a vírussal.