El malware xHelper aterroriza a usuarios Android de Asia y Europa

El malware xHelper se ha extendido principalmente en Rusia, Europa y el suroeste de Asia en tel√©fonos Android 6 y 7. Y es que, aunque antiguos y desactualizados, estos m√≥viles representan alrededor del 15 por ciento de la base de usuarios actual. Este malware comenz√≥ el a√Īo pasado tiendas de aplicaciones no oficiales. Una vez en un artilugio, abre una puerta trasera, lo que permite a los malvados espiar a los propietarios, robar tus datos y causar travesuras.

Los cuerpos de Kaspersky Lab lo separaron recientemente. Y es que seg√ļn los investigadores, lo que hace que el malware sea particularmente desagradable es c√≥mo funciona en varias capas en los tel√©fonos que infecta.

¬ęLa caracter√≠stica principal del malware xHelper es el afianzamiento¬Ľ, explic√≥ Igor Golovin el martes. ¬ęUna vez que entra en el tel√©fono, de alguna manera permanece all√≠. Esto incluso ocurre despu√©s de que el usuario lo elimina y restaura la configuraci√≥n de f√°brica¬ę.

As√≠ act√ļa el malware xHelper

El malware xHelper aterroriza a usuarios Android de Asia y Europa

Cuando el malware xHelper se descarga bajo la apariencia de una aplicaci√≥n leg√≠tima de ¬ęlimpieza¬Ľ del m√≥vil, parece bastante simple. Se extrae un troyano ¬ędropper¬Ľ de Internet, que recopila informaci√≥n y descargas del m√≥vil y ejecuta otro troyano, que, a su vez, descarga un conjunto de c√≥digo de explotaci√≥n que, cuando se ejecuta, otorga privilegios de ra√≠z de malware en el dispositivo. Este c√≥digo de explotaci√≥n se dirige a las vulnerabilidades de seguridad que aparentemente prevalecen en los dispositivos Android 6 y 7 de fabricaci√≥n china.

Cada una de estas descargas de malware, por cierto, están anidadas dentro de una sucesión de carpetas ocultas. En pocas palabras, están más lejos de las herramientas de seguridad para que sean más difíciles de detectar.

¬ęLos archivos maliciosos se almacenan secuencialmente en la carpeta de datos de la aplicaci√≥n, a la que otros programas no tienen acceso¬Ľ, explic√≥ Golovin. ¬ęEste esquema de estilo matryoshka permite a los autores de malware ocultar el rastro y usar m√≥dulos maliciosos que son conocidos por las soluciones de seguridad¬Ľ.

Armado con sus poderosos privilegios de root, el malware monta la partici√≥n del sistema operativo con acceso de escritura habilitado. Esto normalmente no se hace, pero permite que el software desagradable se copie all√≠. El malware cambia el c√≥digo para la funci√≥n mount () en la biblioteca central de libc compartida del sistema. ¬ŅPara qu√©? Para evitar que el usuario y las aplicaciones hagan lo mismo en el futuro para eliminar el programa malicioso, encerr√°ndose y bloqueando a las v√≠ctimas.

Esto significa que puede asegurarse de que se ejecuta desde cada inicio del sistema. ¬ŅY lo peor de todo? Se reinstala desde la partici√≥n del sistema si el m√≥vil se restablece de f√°brica.

Para empeorar las cosas, el malware descarga e instala más desagradables y elimina varios bits del sistema. No es sorprendente, dice Golovin, que esto haga que la infección sea casi imposible de eliminar por completo.

¬ęSimplemente quitar xHelper no desinfecta completamente el sistema¬Ľ, dijo la cabeza de huevo. ¬ęEl programa com.diag.patches.vm8u, instalado en la partici√≥n del sistema, reinstala xHelper y otro malware en la primera oportunidad¬Ľ.

¬ŅQu√© hacer si detectas el malware xHelper?

El malware xHelper aterroriza a usuarios Android de Asia y Europa

Si detectas este malware, pod√©is intentar restaurar la biblioteca destrozada en el modo de recuperaci√≥n de Android. Luego volver a montar la partici√≥n del sistema en modo de escritura y eliminar el malware t√ļ mismo.

Sin embargo, lo mejor que pod√©is hacer es ir un paso m√°s all√° del restablecimiento de f√°brica y borrar la memoria flash por completo. Esto incluye la partici√≥n del sistema, y ‚Äč‚Äčcolocar una copia nueva y limpia.

¬ęSi ten√©is configurado el modo de recuperaci√≥n en tu tel√©fono Android, pod√©is intentar extraer el archivo libc.so del firmware original y reemplazar el infectado con √©l. Esto es importante hacerlo antes de eliminar todo el malware de la partici√≥n del sistema. Sin embargo, es m√°s simple y confiable volver a actualizar completamente el tel√©fono, dijo Golovin¬Ľ.

Un consejo a√ļn mejor es evitar la descarga de aplicaciones sospechosas de Google Play Store, solo para estar seguro. Ah, y definitivamente no usar tiendas de terceros no autorizadas.

:)