La mejor manera de deshacerse del malware es restablecer tu móvil a los valores predeterminados de fábrica y comenzar de nuevo. Pero los investigadores de seguridad hicieron sonar la alarma hace varios meses después de detectar que el malware malicioso xHelper sobrevive a los restablecimientos de fábrica de Android. Sin embargo, nadie pudo averiguar exactamente cómo funcionaba. Ahora, lo sabemos, y es bastante inteligente.
El malware malicioso xHelper comenzó a aparecer en teléfonos a principios de este año con infecciones concentradas en Rusia. No ha aparecido en Play Store porque los sistemas automatizados de Google lo marcarían inmediatamente como sospechoso. Una vez instalado en un móvil, xHelper intenta obtener acceso a la raíz. Esto le permite modificar el software del sistema y configurar una puerta trasera a través de la cual puede instalar otras aplicaciones.
En febrero, Malwarebytes confirmó que xHelper podría sobrevivir a los restablecimientos de fábrica gracias a un archivo indetectable dentro de una carpeta oculta. El archivo volvería a infectar el móvil después de cada reinicio, pero los investigadores no pudieron determinar cómo llegó allí. Ahora sabemos que esto es el resultado de un esfuerzo grupal entre xHelper y un troyano llamado Triada que se descarga después de que xHelper tenga un punto de apoyo.
Una vez instalado, Triada manipula la partición del sistema para agregar el marco de reinfección. También le da a esos archivos un estado especial para que no puedan ser eliminados incluso por otras funciones raíz. Los investigadores de Kaspersky Labs ni siquiera pudieron montar la partición del sistema en modo de escritura para eliminar el malware porque Triada modifica importantes bibliotecas del sistema operativo.
Cómo eliminar el malware malicioso xHelper de tu Android
Entonces, esta es una pieza desagradable de programación, pero hay algunas buenas noticias. Es posible eliminar completamente el malware si tiene acceso al modo de recuperación. Puede reemplazar los archivos de biblioteca modificados, montar la partición del sistema y destruir las carpetas de malware. Una forma más sencilla sería volver a actualizar el dispositivo con una imagen de software oficial que elimine todas las carpetas antiguas del sistema.
Afortunadamente, no necesitas preocuparte por obtener este malware no matable en tu teléfono. Como se mencionó anteriormente, no se propaga a través de Google Play. La única forma de infectarse es descargar archivos APK de sitios web de terceros con sombra. Además, las capacidades de rooteo de xHelper y Triada solo funcionan en Android 6.0 y 7.0 (Marshmallow y Nougat). Las versiones más recientes de Android impedirán que xHelper realice cambios en el sistema operativo e instale Triada. Idealmente, siempre debéis usar móviles que tengan soporte de actualización de seguridad actual.
:)