El malware xHelper aterroriza a usuarios Android de Asia y Europa

El malware xHelper se ha extendido principalmente en Rusia, Europa y el suroeste de Asia en teléfonos Android 6 y 7. Y es que, aunque antiguos y desactualizados, estos móviles representan alrededor del 15 por ciento de la base de usuarios actual. Este malware comenzó el año pasado tiendas de aplicaciones no oficiales. Una vez en un artilugio, abre una puerta trasera, lo que permite a los malvados espiar a los propietarios, robar tus datos y causar travesuras.

Los cuerpos de Kaspersky Lab lo separaron recientemente. Y es que según los investigadores, lo que hace que el malware sea particularmente desagradable es cómo funciona en varias capas en los teléfonos que infecta.

«La característica principal del malware xHelper es el afianzamiento», explicó Igor Golovin el martes. «Una vez que entra en el teléfono, de alguna manera permanece allí. Esto incluso ocurre después de que el usuario lo elimina y restaura la configuración de fábrica«.

Así actúa el malware xHelper

El malware xHelper aterroriza a usuarios Android de Asia y Europa

Cuando el malware xHelper se descarga bajo la apariencia de una aplicación legítima de «limpieza» del móvil, parece bastante simple. Se extrae un troyano «dropper» de Internet, que recopila información y descargas del móvil y ejecuta otro troyano, que, a su vez, descarga un conjunto de código de explotación que, cuando se ejecuta, otorga privilegios de raíz de malware en el dispositivo. Este código de explotación se dirige a las vulnerabilidades de seguridad que aparentemente prevalecen en los dispositivos Android 6 y 7 de fabricación china.

Cada una de estas descargas de malware, por cierto, están anidadas dentro de una sucesión de carpetas ocultas. En pocas palabras, están más lejos de las herramientas de seguridad para que sean más difíciles de detectar.

«Los archivos maliciosos se almacenan secuencialmente en la carpeta de datos de la aplicación, a la que otros programas no tienen acceso», explicó Golovin. «Este esquema de estilo matryoshka permite a los autores de malware ocultar el rastro y usar módulos maliciosos que son conocidos por las soluciones de seguridad».

Armado con sus poderosos privilegios de root, el malware monta la partición del sistema operativo con acceso de escritura habilitado. Esto normalmente no se hace, pero permite que el software desagradable se copie allí. El malware cambia el código para la función mount () en la biblioteca central de libc compartida del sistema. ¿Para qué? Para evitar que el usuario y las aplicaciones hagan lo mismo en el futuro para eliminar el programa malicioso, encerrándose y bloqueando a las víctimas.

Esto significa que puede asegurarse de que se ejecuta desde cada inicio del sistema. ¿Y lo peor de todo? Se reinstala desde la partición del sistema si el móvil se restablece de fábrica.

Para empeorar las cosas, el malware descarga e instala más desagradables y elimina varios bits del sistema. No es sorprendente, dice Golovin, que esto haga que la infección sea casi imposible de eliminar por completo.

«Simplemente quitar xHelper no desinfecta completamente el sistema», dijo la cabeza de huevo. «El programa com.diag.patches.vm8u, instalado en la partición del sistema, reinstala xHelper y otro malware en la primera oportunidad».

¿Qué hacer si detectas el malware xHelper?

El malware xHelper aterroriza a usuarios Android de Asia y Europa

Si detectas este malware, podéis intentar restaurar la biblioteca destrozada en el modo de recuperación de Android. Luego volver a montar la partición del sistema en modo de escritura y eliminar el malware tú mismo.

Sin embargo, lo mejor que podéis hacer es ir un paso más allá del restablecimiento de fábrica y borrar la memoria flash por completo. Esto incluye la partición del sistema, y ​​colocar una copia nueva y limpia.

«Si tenéis configurado el modo de recuperación en tu teléfono Android, podéis intentar extraer el archivo libc.so del firmware original y reemplazar el infectado con él. Esto es importante hacerlo antes de eliminar todo el malware de la partición del sistema. Sin embargo, es más simple y confiable volver a actualizar completamente el teléfono, dijo Golovin».

Un consejo aún mejor es evitar la descarga de aplicaciones sospechosas de Google Play Store, solo para estar seguro. Ah, y definitivamente no usar tiendas de terceros no autorizadas.

:)