Los dispositivos que utilizan el sistema operativo desarrollado por Google finalizarán el año con la existencia de cuatro millones de apps maliciosas.

Durante los nueve primeros meses de 2018 más de tres millones de aplicaciones maliciosas han dañado a dispositivos con sistema operativo Android. Esta cifra que ya supera las amenazas registradas durante el 2017, a un ritmo de casi 12.000 apps maliciosas nuevas al día.

Una de las principales amenazas detectadas es el malware xHelper. Analizamos en qué consiste y la dificultad para eliminarlo.

¿Qué es xHelper?

Divertidamente llamado xHelper, el troyano de Android afectó a más de 45,000 dispositivos en noviembre de 2019, con un promedio de 131 nuevas víctimas diarias. La fuente principal de infecciones fue a través de sitios y aplicaciones de terceros descargados desde fuera de Play Store.

La mayoría de sus víctimas han estado en India, Estados Unidos y Rusia.

xHelper se niega obstinadamente a desaparecer incluso después de realizar un restablecimiento de datos de fábrica. Aunque puedas limpiar tu teléfono, borrar todos tus datos yreinstalar Android, todavía estará al acecho disfrazado en algún rincón oscuro de tu dispositivo.

La buena noticia (si puede llamarse así) es que xHelper se limita a redireccionamientos de sitios, anuncios emergentes y otras notificaciones de spam. No va a tratar de extorsionarte (como el ransomware clásico), ni tratar de robar tus datos.

Sin embargo, los desarrolladores de XHelper están ganando dinero, principalmente a través de redireccionamientos que intentan que instales otras aplicaciones.

Los investigadores de ciberseguridad han estado tratando de revelar cómo el malware sobrevive al restablecimiento de fábrica y cómo infectó tantos dispositivos en primer lugar.

¿Cómo funciona?

Una vez instalada por un usuario desprevenido, la aplicación maliciosa se registra a sí misma como un servicio en primer plano y luego extrae una carga útil cifrada que recopila y envía información de identidad del dispositivo objetivo a un servidor web remoto controlado por el atacante.

En el siguiente paso, la aplicación maliciosa ejecuta otra carga útil ofuscada que desencadena un conjunto de exploits de rooteo de Android e intenta obtener acceso administrativo al sistema operativo del dispositivo.

El malware se encuentra en silencio en el dispositivo y espera los comandos de los atacantes. Según un análisis previo del mismo malware realizado por investigadores, utiliza la fijación de certificados SSL para evitar que su comunicación sea interceptada.

El malware instala una puerta trasera con la capacidad de ejecutar comandos como superusuario. Proporciona a los atacantes acceso completo a todos los datos de la aplicación y también puede ser utilizado por otro malware.

Si el ataque tiene éxito, la aplicación maliciosa luego abusa del privilegio de root para instalar silenciosamente xHelper copiando directamente los archivos maliciosos del paquete a la partición del sistema después de volver a montarlo en el modo de escritura.

Especulación de Xhelper

Symantec afirma en su artículo su creencia de que existe un «conjunto vasto y variado» de malware en el servidor de C&C, pero no ofrece más información al respecto.

También afirman haber encontrado referencias a la red india «Jio», pero esto puede ser más una razón para mencionar que los usuarios de Jio tienen acceso gratuito a «Norton Mobile Security» que bloquea la versión actual de Xhelper. Sin embargo, también puede haber alguna pista en ese uso: ¿Jio se deriva de una palabra / dicho hindi común, por lo que puede indicar un origen indio para los programadores?

Otro punto de Symantec es que una imagen SELinux configurada correctamente (y, por extensión, Android) tiene una secuencia de «arranque seguro»; esto asegura que las imágenes de arranque «bootleg» no se puedan instalar al verificar una firma digital para cada una (y no hay ninguna sugerencia de que los atacantes aquí hayan comprometido las claves de firma).

Esto sería algo simple de verificar para los investigadores, lo que lo convierte en otra cosa extraña: ningún proveedor ha declarado explícitamente que lo han probado y eliminado en los ocho meses que se ha estudiado este malware.

Malwarebytes presenta la información interesante de que los servidores de C&C para Xhelper están basados ​​en los Estados Unidos, dando ejemplos de Nueva York y Dallas. Especulan de esto que los objetivos previstos están dentro de los Estados Unidos.

¿Debo tener miedo de xHelper?

¡Absolutamente! ¿A quién le gustan los programas maliciosos en su dispositivo? Para complicar las cosas, parece que xHelper posee capacidades de una naturaleza mucho más destructiva que la que está revelando actualmente.

Por el momento, todo lo que hace el troyano es enviar spam a tu dispositivo y monetizar la intrusión exitosa. Sin embargo, Symantec y Malwarebytes advierten que xHelper puede descargar e instalar forzosamente otras aplicaciones sin previo aviso.

Por lo tanto, es posible que Xhelper pueda transformarse en algo mucho más incómodo, como un bot DDoS o un ransomware.

Utiliza buenas prácticas de ciberseguridad

Con 350.000 nuevos programas de malware en libertad todos los días, es posible que, al igual que xHelper, unos pocos se deslicen a través de las grietas.

Sin embargo, como notamos anteriormente, la mayoría de las víctimas de xHelper fueron víctimas del programa a través de sitios de terceros y descargas de aplicaciones fuera de Play Store. Esa es un evidente fallo de seguridad que debe evitarse a toda costa.

Desafortunadamente, la tienda Google Play no es conocida por sus protocolos de seguridad estelares, por lo que eso no te hace la vida más fácil.

En octubre, los investigadores descubrieron que la tienda albergaba 172 aplicaciones maliciosas con más de 335 millones de instalaciones hasta la fecha. Por lo tanto, es posible que desees ir un paso más allá e instalar solo aplicaciones con muchas revisiones y descargas, para confirmar que no contienen malware.

La mejor solución, la prudencia

Son cifras muy alarmistas, es cierto, pero no te dejes llevar por el pánico.

En los últimos años Google ha mejorado de manera significativa la seguridad y fiabilidad de Android. Y con tu prudencia es suficiente para que a tu smartphone no le infecte ningún tipo de software malicioso.

El malware en Android viene de páginas para adultos, anuncios y falsas páginas de premios y promociones.

Pero, si eres prudente, y no descargas nada que no deberías, no tendrías por qué tener ningún problema con el malware en Android.

El mejor antivirus es, como siempre, tu sentido común.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.