Symantec y MalwareBytes han observado un aumento en las detecciones de una aplicación maliciosa de Android que puede ocultarse de los usuarios, descargar aplicaciones maliciosas adicionales y mostrar anuncios. La aplicación, llamada Xhelper, es persistente. Se puede reinstalar solo después de que los usuarios lo desinstalen y está diseñado para permanecer oculto al no aparecer en el iniciador del sistema. La aplicación ha infectado más de 45.000 dispositivos en los últimos seis meses.

Xhelper no se puede iniciar manualmente ya que no hay ningún icono de aplicación visible en el menú inicio. En cambio, la aplicación maliciosa se inicia por eventos externos, como cuando el dispositivo comprometido está conectado o desconectado de una fuente de alimentación, el dispositivo se reinicia o se instala o desinstala una aplicación.

Este malware no es sólo peligroso por poder descargar malware adicional o mostrar anuncios, sino que hace todo esto escondido sin que el usuario se dé cuenta y se reinstala cuando el usuario lo elimina. La primera vez que se ejecuta se registra a sí mismo como un proceso en primer plano, de forma que no se cierra ni siquiera cuando hay poca memoria disponible. Si se detiene el servicio, se vuelve a ejecutar.

Desinstalar la aplicación no sirve de nada, ni tampoco hacer un factory reset. La única opción, si tenemos el móvil rooteado y un recovery modificado, es hacer un wipe completo del móvil, incluyendo sobre todo la partición del sistema.

Si no lo tenemos rooteado, actualmente no hay ninguna forma de eliminarlo, teniendo que esperar a que los antivirus encuentren la forma de hacerlo. Desde Symantec están estudiando si hay otra aplicación del sistema que es la que se encarga de descargar el malware, lo cual tendría sentido porque un factory reset borra todas las aplicaciones instaladas en el espacio del usuario al margen del sistema.

El origen del malware es incierto, pero Symantec apunta a que se está incluyendo en aplicaciones modificadas que los usuarios descargan de fuentes desconocidas. MalwareBytes apunta que el origen podrían ser páginas de juegos que incitan a los usuarios a descargar aplicaciones de fuentes no fiables.

Encontrar la app es complicado, ya que ésta esconde su icono del cajón de aplicaciones, y sólo aparece en el listado de ajustes. Para ejecutarse, aprovecha como triggers acciones que nosotros hagamos en el móvil, como conectarlo a la corriente, reiniciarlo, o instalar o desinstalar otras apps, lo cual dificulta mucho su detección.

En la actualidad, el malware «sólo» está bombardeando con anuncios a los usuarios infectados, pero tiene plena capacidad para instalar otro malware más sofisticado y peligroso en cualquier momento, pudiendo tomar el control total de nuestro móvil para robar nuestros datos.

xHelper está en constante evolución, y sus creadores van añadiendo más y más código. En las últimas modificaciones se encuentran bastantes referencias a Jio, el segundo mayor operador de India con 300 millones de usuario, lo que indica que planean un ataque en el futuro a los usuarios de esa red.

Por ahora el malware no está incluido en ninguna app disponible en la Play Store, por lo que si te ciñes a descargar aplicaciones de ahí no deberías tener ningún problema. Symantec ha detectado, no obstante, que hay marcas muy concretas que se ven afectadas por el malware, aunque descartan que éste venga preinstalado.

Fuente: ADSLZone

Compartir