Según los informes, un nuevo tipo de malware de Android llamado xHelper es capaz de reinstalarse incluso después de ser eliminado manualmente. El mismo ha infectado a más de 45,000 móviles Android en los últimos seis meses.
Los últimos hallazgos, revelados por la empresa de seguridad cibernética Symantec, se producen después de una divulgación similar por parte de MalwareBytes. Esta descubrió el malware en la naturaleza en mayo de 2019.
El troyano, que afecta principalmente a los usuarios de India, EE.UU. y Rusia, ha subido a la lista de los 10 principales malware móviles detectados, con Symantec observando lo que llama «un aumento en las detecciones» del malware malicioso de Android que puede ocultarse de los usuarios, descargar aplicaciones maliciosas adicionales y mostrar anuncios.
«Solo en el último mes, hubo un promedio de 131 dispositivos infectados cada día, y un promedio de 2,400 dispositivos permanentemente infectados durante todo el mes», dijo la compañía. Vale la pena señalar que MalwareBytes había fijado el número de teléfonos afectados en 33,000. Esto sugiere un aumento rápido en poco más de dos meses.
Orígenes misteriosos
Si bien los orígenes exactos de la aplicación maliciosa empaquetada con el malware xHelper se están investigando activamente, Symantec sospecha que la infección es posiblemente descargada por usuarios de fuentes desconocidas a través de una aplicación de sistema malicioso que descarga constantemente el malware a pesar de que los usuarios realizan restablecimientos de fábrica y lo desinstalan manualmente.
Los investigadores de MalwareBytes, por otro lado, creen que se está difundiendo a través de sitios web de juegos turbios. Estos engañan a los usuarios desprevenidos para que descarguen aplicaciones de fuentes externas no confiables.
Además de operar silenciosamente en segundo plano, xHelper lleva su comportamiento sigiloso a nuevas alturas al no crear un ícono de aplicación o un ícono de acceso directo en el iniciador de la pantalla de inicio. El único indicador es una lista en la sección de información de la aplicación de la configuración del teléfono infectado.
La falta de un icono de aplicación significa que el malware no se puede iniciar manualmente. Pero para solucionar el problema, se basa en disparadores externos. ¿Cómo cuáles? Como conectar o desconectar el teléfono infectado de una fuente de alimentación, reiniciar un móvil o instalar o desinstalar una aplicación. ¿Para qué? Para ejecutarse como un servicio en primer plano que minimiza la posibilidad de morir.
De adware a potente amenaza
La buena noticia, si puede haber una, es que el malware no hace nada particularmente sofisticado, aparte de bombardear a los propietarios de móviles con anuncios emergentes intrusivos y enviar spam al teléfono con notificaciones para juegos gratuitos. Pero podría explotarse hábilmente para entregar cargas adicionales de malware de segunda etapa debido a sus tácticas de evasión meticulosamente diseñadas para evitar la detección.
Esto podría transformar fácilmente el malware de una molestia de adware a una amenaza de seguridad significativa capaz de instalar otras aplicaciones maliciosas en el teléfono. También hacerse cargo del móvil de forma remota.
Symantec dijo que la funcionalidad de xHelper se ha expandido drásticamente en los últimos tiempos. Sin embargo, los investigadores advierten que está en constante evolución para apuntar a nuevas víctimas. El código inacabado, con muchas variables etiquetadas como ‘Jio‘, ha llevado a los investigadores a sospechar que los atacantes pueden estar planeando atacar a los usuarios de Jio en una fecha futura.
Para aquellos que no están familiarizados, Jio es la segunda red celular más grande en la India operada por Reliance Industries con más de 300 millones de suscriptores.
Para proteger sus móviles de tales ataques, siempre se recomienda mantener actualizados los teléfonos y las aplicaciones. También atenerse a Google Play Store para descargar aplicaciones y tener mucho cuidado con los sitios web móviles que visita.
:)