Clicky

Misterioso malware que se reinstala infecta más de 45.000 teléfonos Android

Xhelper

Los productos antivirus aún no pueden eliminar permanentemente ni bloquear la reinstalación de Xhelper

En los últimos meses cientos de usuarios de Android se han quejado en línea de una nueva pieza de misterioso malware que se esconde en los dispositivos infectados y, según los informes, puede reinstalarse incluso después de que los usuarios lo eliminen o restablezcan sus dispositivos de fábrica.

Denominado Xhelper, el malware ya ha infectado más de 45.000 dispositivos Android en los últimos seis meses y continúa propagándose infectando al menos 2.400 dispositivos en promedio cada mes, según el último informe publicado ayer por Symantec.

A continuación he recopilado extractos de algunos comentarios que los usuarios afectados compartieron en los foros en línea mientras preguntaban cómo eliminar el malware Xhelper para Android:

• "¡xhelper se reinstala regularmente, casi todos los días!"
• "Se activa la configuración 'instalar aplicaciones de fuentes desconocidas'"
• "Reinicié mi teléfono y también lo limpié, pero regresó la aplicación xhelper"
• "Xhelper vino preinstalado en el teléfono desde China"
• "No compre teléfonos de marca baratos"

Xhelper en un foro

¿De dónde viene el malware Xhelper para Android?

Aunque los investigadores de Symantec no encontraron la fuente exacta de donde proviene la aplicación maliciosa empaquetada con el malware Xhelper, la empresa de seguridad sospechó que una aplicación de sistema malicioso preinstalada en dispositivos Android de ciertas marcas realmente descargaba el malware.

"Ninguna de las muestras que analizamos estaba disponible en Google Play Store, y aunque es posible que el malware Xhelper sea descargado por usuarios de fuentes desconocidas, creemos que puede no ser el único canal de distribución", escriben en su informe los investigadores de Symantec.

"Desde nuestra telemetría, hemos visto que estas aplicaciones se instalan con más frecuencia en ciertas marcas de teléfonos, lo que nos lleva a creer que los atacantes pueden centrarse en marcas específicas".

En un informe separado publicado hace dos meses por Malwarebytes, los investigadores creían que el malware Xhelper se estaba propagando a través de "redireccionamientos web" u "otros sitios web sospechosos" que incitan a los usuarios a descargar aplicaciones de fuentes externas no confiables.

¿Cómo funciona el malware Xhelper?

Una vez instalado, Xhelper no proporciona una interfaz de usuario normal; en su lugar, se instala como un componente de la aplicación que no aparece en el iniciador de aplicaciones del dispositivo en un intento de permanecer oculto para los usuarios.

Para iniciarse, Xhelper se basa en algunos eventos externos activados por los usuarios, como conectar o desconectar el dispositivo infectado de una fuente de alimentación, reiniciar un dispositivo o instalar o desinstalar una aplicación.

Una vez lanzado, el malware se conecta a su servidor remoto de comando y control (C&C) a través de un canal encriptado y descarga cargas adicionales como cuentagotas, clickers y rootkits en los dispositivos Android comprometidos.

"Creemos que el conjunto de malware almacenado en el servidor de C&C tiene una funcionalidad amplia y variada, que ofrece al atacante múltiples opciones, incluido el robo de datos o incluso la toma completa del dispositivo", dicen los investigadores.

Los investigadores creen que el código fuente de Xhelper sigue siendo un trabajo en progreso, ya que algunas de sus "variantes más antiguas incluían clases vacías que no se implementaron en ese momento, pero la funcionalidad está ahora totalmente habilitada".

Se ha visto que el malware Xhelper está dirigido a usuarios de teléfonos inteligentes Android principalmente en India, Estados Unidos y Rusia.

Aunque muchos productos antivirus para Android detectan el malware Xhelper, aún no pueden eliminarlo permanentemente ni bloquear su reinstalación en los dispositivos infectados.

Dado que la fuente del malware aún no está clara, se recomienda a los usuarios de Android que tomen precauciones simples pero efectivas como:

• mantener actualizados los dispositivos y las aplicaciones,
• evitar descargas de aplicaciones de fuentes desconocidas,
• prestar siempre mucha atención a los permisos solicitados por las aplicaciones,
• respaldar datos con frecuencia, y
• instalar una buena aplicación antivirus que proteja contra este malware y amenazas similares.

Jesus_Caceres