Cómo eliminar completamente xHelper de un dispositivo infectado
¿Recuerdas xHelper?
Una misteriosa pieza de malware de Android que se reinstala en dispositivos infectados incluso después de que los usuarios lo eliminan o restablecen sus dispositivos de fábrica, lo que hace que sea casi imposible de eliminar.
Según los informes, xHelper infectó el año pasado más de 45.000 dispositivos y, desde entonces, los investigadores de ciberseguridad han estado tratando de descubrir cómo sobrevive el malware al restablecimiento de fábrica y en primer lugar cómo infectó tantos dispositivos.
En una publicación de blog publicada ayer, Igor Golovin, analista de malware de Kaspersky, resolvió finalmente el misterio al revelar detalles técnicos sobre el mecanismo de persistencia utilizado por este malware, y también descubrió cómo eliminar completamente xHelper de un dispositivo infectado.
Como el vector de ataque inicial y para su distribución, la aplicación de malware se disfraza como una aplicación de optimización de velocidad y popular limpiador para teléfonos inteligentes, que afecta principalmente a los usuarios en Rusia (80.56%), India (3.43%) y Argelia (2.43%).
"Pero en realidad, no tiene nada de útil: después de la instalación, el "limpiador" simplemente desaparece y no se ve en ninguna parte ni en la pantalla principal ni en el menú del programa. Puedes verlo solo inspeccionando la lista de aplicaciones instaladas en la configuración del sistema", dijo Golovin.
Una vez instalada por un usuario desprevenido, la aplicación maliciosa se registra a sí misma como un servicio en primer plano y luego extrae una carga útil cifrada que recopila y envía información de identidad del dispositivo objetivo a un servidor web remoto controlado por el atacante.
En el siguiente paso, la aplicación maliciosa ejecuta otra carga útil ofuscada que desencadena un conjunto de exploits de rooteo de Android e intenta obtener acceso administrativo al sistema operativo del dispositivo.
"El malware puede obtener acceso a la raíz (root) principalmente en dispositivos con versiones de Android 6 y 7 de fabricantes chinos (incluidos los ODM)", dijo Golovin.
El malware se encuentra en silencio en el dispositivo y espera los comandos de los atacantes. Según un análisis previo del mismo malware realizado por investigadores de Symantec, utiliza la fijación de certificados SSL para evitar que sea interceptada su comunicación.
"El malware instala una puerta trasera con la capacidad de ejecutar comandos como superusuario. Proporciona a los atacantes acceso total a todos los datos de la aplicación y también puede ser utilizado por otro malware, por ejemplo, CookieThief".
Si el ataque tiene éxito, la aplicación maliciosa abusa luego del privilegio de root para instalar silenciosamente xHelper copiando directamente los archivos maliciosos del paquete a la partición del sistema (carpeta /system/bin) después de volver a montarlo en el modo de escritura.
"A todos los archivos en las carpetas de destino se les asigna el atributo inmutable, lo que dificulta la eliminación del malware porque el sistema ni siquiera permite que los superusuarios eliminen archivos con este atributo", dijo Golovin.
Lo que es más interesante es que, aunque una aplicación de seguridad legítima o un usuario afectado podrían simplemente volver a montar la partición del sistema, de la misma manera, para eliminar permanentemente el archivo de malware, xHelper también modifica una biblioteca del sistema (libc.so) con la intención de evitar que los usuarios infectados vuelvan a montar la partición del sistema en el modo de escritura.
"Además de eso, el troyano descarga e instala varios programas maliciosos más y elimina las aplicaciones de control de acceso de root, como Superuser", dijo Golovin.
Según Kaspersky, reemplazar la biblioteca modificada con la del firmware original para el teléfono inteligente Android podría volver a habilitar la partición del sistema de montaje en el modo de escritura para eliminar permanentemente el malware xHelper para Android.
Sin embargo, en lugar de seguir un procedimiento tan experto en tecnología para deshacerse del malware, se aconseja a los usuarios afectados que simplemente vuelvan a flashear sus teléfonos con una copia nueva del firmware descargado del sitio web oficial de los proveedores o instalando una ROM de Android diferente pero compatible.
