Misterioso malware que se reinstala, ha infectado más de 45,000 teléfonos Android


En los últimos meses, cientos de usuarios de Android se han quejado en línea de una nueva pieza de malware misterioso que se esconde en los dispositivos infectados y, según los informes, puede reinstalarse incluso después de que los usuarios lo eliminen o restablezcan sus dispositivos de fábrica.

Apodado Xhelper, el malware ya ha infectado más de 45,000 dispositivos Android en los últimos seis meses y continúa propagándose infectando al menos 2,400 dispositivos en promedio cada mes, según el último informe publicado hoy por Symantec.

A continuación, he recopilado extractos de algunos comentarios que los usuarios afectados compartieron en los foros en línea mientras preguntaban cómo eliminar el malware Xhelper para Android:

"¡xhelper se reinstala regularmente, casi todos los días!"

"la configuración 'instalar aplicaciones de fuentes desconocidas' se activa".

"Reinicié mi teléfono y también lo limpié, pero la aplicación xhelper regresó".

"Xhelper vino preinstalado en el teléfono desde China".

"No compre teléfonos de marca baratos".

¿De dónde viene el malware Xhelper para Android?

Aunque los investigadores de Symantec no encontraron la fuente exacta de donde proviene la aplicación maliciosa empaquetada con el malware Xhelper, la empresa de seguridad sospechó que una aplicación de sistema malicioso preinstalada en dispositivos Android de ciertas marcas realmente descargaba el malware.

"Ninguna de las muestras que analizamos estaba disponible en Google Play Store, y aunque es posible que el malware Xhelper sea descargado por usuarios de fuentes desconocidas, creemos que puede no ser el único canal de distribución", escriben los investigadores de Symantec en su reporte.

"Desde nuestra telemetría, hemos visto que estas aplicaciones se instalan con más frecuencia en ciertas marcas de teléfonos, lo que nos lleva a creer que los atacantes pueden centrarse en marcas específicas".

En un informe separado publicado hace dos meses por Malwarebytes, los investigadores creían que el malware Xhelper se estaba propagando a través de "redireccionamientos web" u "otros sitios web sospechosos" que incitan a los usuarios a descargar aplicaciones de fuentes externas no confiables.

¿Cómo funciona el malware Xhelper?

Una vez instalado, Xhelper no proporciona una interfaz de usuario normal; en su lugar, se instala como un componente de aplicación que no aparece en el iniciador de aplicaciones del dispositivo en un intento de permanecer oculto para los usuarios.

Para lanzarse, Xhelper se basa en algunos eventos externos activados por los usuarios, como conectar o desconectar el dispositivo infectado de una fuente de alimentación, reiniciar un dispositivo o instalar o desinstalar una aplicación.

Cortafuegos de aplicaciones web

Una vez lanzado, el malware se conecta a su servidor remoto de comando y control a través de un canal encriptado y descarga cargas adicionales como droppers, clickers y rootkits en los dispositivos Android comprometidos.

"Creemos que el conjunto de malware almacenado en el servidor de C&C tiene una funcionalidad amplia y variada, que ofrece al atacante múltiples opciones, incluido el robo de datos o incluso la toma completa del dispositivo", dicen los investigadores.

Los investigadores creen que el código fuente de Xhelper sigue siendo un trabajo en progreso, ya que algunas de sus "variantes más antiguas incluían clases vacías que no se implementaron en ese momento, pero la funcionalidad ahora está totalmente habilitada".

Se ha visto que el malware Xhelper está dirigido a usuarios de teléfonos inteligentes Android principalmente en India, Estados Unidos y Rusia.

Aunque muchos productos antivirus para Android detectan el malware Xhelper, aún no pueden eliminarlo permanentemente ni bloquear su reinstalación en los dispositivos infectados.

Dado que la fuente del malware aún no está clara, se recomienda a los usuarios de Android que tomen precauciones simples pero efectivas como:

  • Mantener actualizados los dispositivos y las aplicaciones,
  • Evitar descargas de aplicaciones de fuentes desconocidas,
  • Siempre preste mucha atención a los permisos solicitados por las aplicaciones,
  • Respaldar datos con frecuencia
  • Instale una buena aplicación antivirus que proteja contra este malware y amenazas similares.


No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila