xHelper, el malware que no se puede eliminar de los dispositivos Android

La compañía especializada en seguridad informática, Symantec publicó un informe en el que comparte los detalles de xHelper, un malware que está afectando a cerca de 45.000 dispositivos Android de todo el mundo en pocos meses, cuya característica principal es su extrema persistencia, pues tiene la capacidad de reinstalarse automáticamente, incluso después de haber formateado el dispositivo.

 

“Esta es la segunda amenaza orientada a Android de la que hemos tenido que informar en el mes de octubre, y si bien su extensión se limita a “solo” unas cuantas decenas de miles de dispositivos, llama la atención por las técnicas usadas por los atacantes para asegurarse de que su sofware malicioso es capaz de cumplir su función independientemente de las acciones del usuario”, señaló Symantec.

 

xHelper se considera una Amenaza Persistente Avanzada (APT, por sus siglas en inglés), ya que es capaz de permanecer en los dispositivos móviles tras desinstalar la aplicación, incluso después del reseteo, según explica un informe de Symantec.

 

La primera aparición de xHelper se produjo en marzo de este año, casi ocho meses atrás. Su expansión ha sido lenta hasta el momento, pero mantiene un ritmo promedio de unas 131 infecciones diarias, lo que supone que puede llegar a alcanzar los 2.400 teléfonos infectados cada mes. De hecho, en agosto ya se situaba en unas 32.000 infecciones, mientras que en octubre alcanzó las 45.000.

 

La aplicación apunta a marcas específicas de teléfonos con sistema operativo Android de Estados Unidos, Rusia e India. Los usuarios de Android reportan que dicho malware, que no aparece en la lista de apps, provoca que se desplieguen anuncios publicitarios en la pantalla y pese a ser desinstalado, este se reinstala, de acuerdo con el reporte de SymantecxHelper no aparece en la lista de aplicaciones debido a que en realidad es solo un componente de una aplicación. Lo que hace más fácil que el malware haga daño sin ser descubierto.

 

Su origen no ha podido ser ubicado, pero la empresa ha señalado que podría encontrarse la instalación de aplicaciones modificadas, las cuales son descargadas por usuario a través de fuentes desconocidas. Según Malwarebytes, otra compañía especializada en las mismas temáticas, su procedencia podría encontrarse en las páginas de juegos que incitan a los internautas a descargas aplicaciones desde fuentes no confiables.

 

El malware se activa a través de eventos externos, como cuando el dispositivo se conecta o desconecta de una fuente de alimentación, cuando se instala o desinstala una aplicación e incluso cuando el celular se formatea. El virus funciona en segundo plano para no resultar afectado por el ahorro de batería y está programado para reiniciarse automáticamente si se detiene.

 

Una vez logra acceso al dispositivo, este virus carga su código malicioso en la memoria y conecta al dispositivo al servidor de los cibercriminales, desde donde difunde diversos programas maliciosos para el robo de datos o incluso hacerse con el control del móvil, otros usuarios también se han visto afectados por malwares publicitarios.

 

La carga maliciosa que desencadena xHelper se conectará a un servidor de comando y control para esperar más pedidos. Esta comunicación también está oculta para el usuario y su software de seguridad mediante el uso de anclaje de certificado SSL para evitar la intercepción. Esas «órdenes adicionales» incluyen la entrega de cargas adicionales, como cuentagotas de malwarerootkits para permitir la toma completa del dispositivo infectado.

 

¿Por qué no funciona el restablecimiento de fábrica?

El mayor enigma desde la perspectiva de la seguridad es cómo cualquier malware puede sobrevivir a un restablecimiento de fábrica. Después de todo, a menos que fuera parte del firmware del teléfono inteligente, un restablecimiento de fábrica lo dejaría en el olvido.

 

El informe de Symantec parece eliminar esta posibilidad, ya que declaró: «Creemos que es poco probable que xHelper venga preinstalado en los dispositivos dado que estas aplicaciones no tienen ninguna indicación de ser aplicaciones del sistema».

 

La explicación más probable dada en el informe es que otra aplicación separada está descargando persistentemente el malware.

 

May Ying Tee, ingeniero de software de Symantec y uno de los autores del informe, afirmó que «el malware no sobrevive técnicamente al restablecimiento de fábrica». En cambio, dice Ying Tee, «creemos que puede haber sido eliminado y luego reinstalado por otro malware, dando así la percepción de sobrevivir al restablecimiento de fábrica».

 

La única forma para liberarse de ese malware es realizar una limpia del móvil en su totalidad, no obstante, para ello se requiere haber rooteado el dispositivo, pues de otra forma no será posible eliminar la intrusión.

 

Cabe explicar que rootear es un proceso a partir del cual se modifica el sistema operativo del dispositivo con el fin de tener un control total sobre él y así superar cualquier tipo de limitación que el fabricante haya puesto. Incluso, es posible extender sus funcionalidades.

 

Respecto al porqué xHelper resiste a los restablecimientos de fábrica, aun no se han dado explicaciones, y por lo tanto se deberá esperar hasta que los antivirus tengan la capacidad de deshacerse de él.

 

No obstante, las compañías de ciberseguridad han notado la evolución de este código malicioso a partir de adiciones que se le han hecho. De hecho, en los cambios más recientes que notaron se encontraron referencias a Jio, la red 4G más grande de la India, lo cual, según Symantec, podría indicar un posible ataque a los usuarios de esta red.

 

 

Hasta el momento, el argumento para tranquilizar a las personas que utilizan el sistema operativo Android es que el malware no se encuentra alojado en ninguna de las aplicaciones de la Play Store, por lo que, si las personas bajan todas sus apps desde la tienda oficial de Google, no deberán tener problemas con este troyano.

 

Por otro lado, John Opdenakker, un hacker ético, dice que «son las malas prácticas de seguridad las que vuelven a meter al usuario en problemas». Generalmente, las personas están reinstalando las mismas aplicaciones que antes del restablecimiento de fábrica, incluidas las de fuentes distintas de la tienda oficial de Google Play y por esta razón quizá el malware se reinstala en el smartphone.

 

«Esto resalta el riesgo de instalar aplicaciones fuera de las tiendas de aplicaciones oficiales», dijo por su parte el especialista en seguridad de aplicaciones Sean Wright, «mi recomendación es instalar solo aplicaciones a través de las tiendas de aplicaciones oficiales, a menos que se sepa con certeza la validez de la aplicación en cuestión».

 

Por supuesto, las aplicaciones malas también entran en Play Store, pero reducen las posibilidades de que instales una aplicación tan maliciosa. Por ahora, este es el mejor consejo a seguir. Los investigadores de Symantec creen que el código de malware sigue siendo un trabajo en progreso y que aún hay más trucos por descubrir.

 

Los comentarios están cerrados.