Un gran número de
usuarios han reportado que sus dispositivos han sido infectados por un nuevo
malware que se reinstala a si mismo después de haber sido desinstalado del
terminal o incluso después de realizar un factory reset del dispositivo.
Xhelper, que es como
ha sido bautizado el malware y que ha infectado a más de 45.000 dispositivos en
sólo seis meses y se calcula que de media puede infectar a 2.400 dispositivos
cada mes aproximadamente, de acuerdo con un reporte publicado recientemente por
Symantec.
Investigadores de
Symantec no han logrado encontrar la fuente exacta desde la que el malware
Xhelper ha podido ser distribuido, o si viene empaquetado a través de otra app
maliciosa. Symantec sospecha que la descarga de la aplicación maliciosa se
realiza desde aplicaciones legítimas de algunas marcas.
En un reporte
distinto, publicado por Malwarebytes hace dos meses, se hace referencia a que
Xhelper puede estar propagándose a través de redirecciones web que solicitan al
usuario la descarga de aplicaciones desde repositorios no confiables.
Una vez instalada,
Xhelper no tiene una interfaz de usuario como tal. En lugar de ello, se instala
como un componente de aplicación. Con esto Xhelper consigue no aparecer en el
launcher de aplicaciones en un intento por mantenerse oculto al usuario.
Para lanzarse,
Xhelper se sirve de eventos externos producidos por el usuario; como son
conectar/desconectar el dispositivo infectado a la red eléctrica, reiniciarlo o
instalar/desinstalar una app.
Una vez ejecutado, el
malware se conecta al servidor C2 usando un canal cifrado para descargar
payloads adicionales en el terminal comprometido, como pueden ser droppers,
clickers y rootkits.
Los investigadores
creen que el código fuente de Xhelper aun no está terminado ya que en variantes
antiguas se incluían clases vacías que no estaban implementadas, pero que ahora
si lo están.
Los usuarios
afectados se encuentran mayormente en India, Rusia y EEUU.
Dado que la fuente de
infección de Xhelper no está aun muy clara, se deben tomar algunas precauciones
básicas, como son:
- Actualizar el
firmware del dispositivo y mantener las aplicaciones también actualizadas.
- Evitar descargar
apps desde fuentes no confiables.
- Prestar siempre
atención a los permisos solicitados durante la instalación de aplicaciones
nuevas.
- Hacer backups
con frecuencia.
- Instalar un buen
antivirus que proteja de este malware y amenazas similares, como puede ser
Koodous.
Más Información:
· Xhelper: Persistent
Android dropper app infects 45K devices in past 6 months https://www.symantec.com/blogs/threat-intelligence/xhelper-android-malware
· Mobile Menace Monday:
Android Trojan raises xHelper https://blog.malwarebytes.com/android/2019/08/mobile-menace-monday-android-trojan-raises-xhelper/
· Muestra en
Koodous.com https://koodous.com/apks/7ec5a495ca62214a6e1292d6967fb79ff5f9808c94e080a6ea9cb578cb67ef45
· GooglePlay Xhelper
thread https://support.google.com/googleplay/thread/5398460
Fuente: Hispasec