Ayuda Ley Protección Datos

xHelper, el malware de Android imposible de eliminar

Los dispositivos que utilizan Android, el sistema operativo desarrollado por Google, finalizarán el año con la existencia de cuatro millones de apps maliciosas. Una de las principales amenazas detectadas es el malware xHelper. Analizamos en qué consiste y por qué es tan difícil eliminarlo.

¿Qué es xHelper?

XHelper es un troyano de Android que afectó a más de 45,000 dispositivos en noviembre de 2019, con un promedio de 131 nuevas víctimas diarias. La fuente principal de infecciones fue a través de sitios y aplicaciones de terceros descargados desde fuera de Play Store.

La mayoría de sus víctimas han sido usuarios de Android en India, Estados Unidos y Rusia.

El malware xHelper se niega obstinadamente a desaparecer incluso después de realizar un restablecimiento de fábrica. Aunque puedas limpiar tu teléfono, borrar todos tus datos y reinstalar Android, todavía estará al acecho disfrazado en algún rincón oscuro de tu dispositivo.

La buena noticia (si puede llamarse así) es que el troyano xHelper se limita a redireccionamientos de sitios, anuncios emergentes y otras notificaciones de spam. No va a tratar de extorsionarte (como el ransomware clásico), ni tratar de robar tus datos.

Sin embargo, los desarrolladores de XHelper están ganando dinero, principalmente a través de redireccionamientos que intentan que instales otras aplicaciones.

Los investigadores de ciberseguridad han estado tratando de revelar cómo el malware sobrevive al restablecimiento de fábrica y cómo infectó tantos dispositivos en primera instancia.

¿Cómo funciona xHelper?

Una vez instalada la APK por un usuario desprevenido, esta aplicación maliciosa se registra a sí misma como un servicio en primer plano y luego extrae una carga útil cifrada que recopila y envía información de identidad del dispositivo objetivo a un servidor web remoto controlado por el atacante.

En el siguiente paso, la aplicación maliciosa ejecuta otra carga útil ofuscada que desencadena un conjunto de exploits de rooteo de Android e intenta obtener acceso administrativo al sistema operativo del dispositivo.

El malware se encuentra en silencio en el dispositivo y espera los comandos de los atacantes. Según un análisis previo del mismo malware realizado por investigadores, utiliza la fijación de certificados SSL para evitar que su comunicación sea interceptada.

El malware instala una puerta trasera con la capacidad de ejecutar comandos como superusuario. Proporciona a los atacantes acceso completo a todos los datos de la aplicación y también puede ser utilizado por otro malware.

Si el ataque tiene éxito, la aplicación maliciosa luego abusa del privilegio de root para instalar silenciosamente xHelper copiando directamente los archivos maliciosos del paquete a la partición del sistema después de volver a montarlo en el modo de escritura.

Especulaciones sobre Xhelper

Symantec afirma en un artículo su creencia de que existe un «conjunto vasto y variado» de malware en el servidor de C&C, pero no ofrece más información al respecto.

También afirman haber encontrado referencias a la red india «Jio», pero esto puede ser más una razón para mencionar que los usuarios de Jio tienen acceso gratuito a Norton Mobile Security que bloquea la versión actual de Xhelper. Sin embargo, también puede haber alguna pista en ese uso: ¿Jio se deriva de una palabra / dicho hindi común, por lo que puede indicar un origen indio para los programadores?

Otro punto de Symantec es que una imagen SELinux configurada correctamente (y, por extensión, Android) tiene una secuencia de «arranque seguro»; esto asegura que las imágenes de arranque «bootleg» no se puedan instalar al verificar una firma digital para cada una (y no hay ninguna sugerencia de que los atacantes aquí hayan comprometido las claves de firma).

Esto sería algo simple de verificar para los investigadores, lo que lo convierte en otra cosa extraña: ningún proveedor ha declarado explícitamente que lo han probado y eliminado en los meses que se ha estudiado este malware.

Malwarebytes presenta la información interesante de que los servidores de C&C para Xhelper están basados ​​en los Estados Unidos, dando ejemplos de Nueva York y Dallas. Especulan de esto que los objetivos previstos están dentro de los Estados Unidos.

¿Debo tener miedo de xHelper?

¿A quién le gustan los programas maliciosos en su dispositivo? Para complicar las cosas, parece que xHelper posee capacidades de una naturaleza mucho más destructiva que la que está revelando actualmente.

Por el momento, todo lo que hace el troyano es enviar spam a tu dispositivo y monetizar la intrusión exitosa. Sin embargo, Symantec y Malwarebytes advierten que xHelper puede descargar e instalar forzosamente otras aplicaciones sin previo aviso.

Por lo tanto, es posible que Xhelper pueda transformarse en algo mucho más incómodo, como un bot DDoS o un ransomware.

Utiliza buenas prácticas de ciberseguridad

Con 350.000 nuevos programas de malware en libertad todos los días, es posible que, al igual que xHelper, unos pocos se deslicen a través de las grietas.

Sin embargo, como notamos anteriormente, la mayoría de las víctimas de xHelper fueron víctimas del programa a través de sitios de terceros y descargas de aplicaciones fuera de Play Store. Esa es un evidente fallo de seguridad que debe evitarse a toda costa.

Desafortunadamente, la tienda Google Play no es conocida por sus protocolos de seguridad estelares, por lo que eso no te hace la vida más fácil.

En octubre, los investigadores descubrieron que la tienda albergaba 172 aplicaciones maliciosas con más de 335 millones de instalaciones hasta la fecha. Por lo tanto, es posible que desees ir un paso más allá e instalar solo aplicaciones con muchas revisiones y descargas, para confirmar que no contienen malware.

La mejor solución, la prudencia

Son cifras muy alarmistas, es cierto, pero no te dejes llevar por el pánico.

En los últimos años Google ha mejorado de manera significativa la seguridad y fiabilidad de Android. Y con tu prudencia es suficiente para que a tu smartphone no le infecte ningún tipo de software malicioso.

El malware en Android viene de páginas para adultos, anuncios y falsas páginas de premios y promociones.

Pero, si eres prudente, y no descargas nada que no deberías, no tendrías por qué tener ningún problema con el malware en Android.

Cómo eliminar el malware xHelper de dispositivos Android en 8 pasos

Parece que finalmente Malwarebytes ha dado con una manera para eliminar xHelpder de los dispositivos, evitando además que vuelva a instalarse. Los pasos a seguir son los siguientes:

1.- Descarga e instala la versión de Malwarebytes para Android. Es totalmente gratuita.

2.- Descarga e instala un programa de gestión de archivos para Android. Una buena opción es File Manager de la compañía Astro.

3. Desactiva temporalmente Google Play mientras realizas el proceso de desinfección del teléfono.

4.- Ejecuta un análisis con Malwarebytes para encontrar la aplicación infectada por xHelper.

5.- Abre el gestor de archivos que te hayas descargado y busca la aplicación infectada  Dentro de ella debes identificar archivos que comiencen con el nombre com.mufc.

6.- Ordena por fecha en al administrador todos los archivos que comiencen por com.mufc.

7.- Elimina todos los archivos que empiecen por com.mufc y también todos aquellos que figuren en la misma fecha que estos archivos.

8. Habilita de nuevo Google Play

Consejos para proteger tu teléfono Android de XHelper y demás malware

El virus xHelper se aprovecha de las vulnerabilidades de los sistemas Android y de la propia irresponsabilidad de los usuarios a la hora de descargar apps. Básicamente, igual que muchos otros tipos de malware. Para evitar que tu dispositivo sea infectado, debes seguir una serie de consejos:

En definitiva, xHelper ha sido un gran quebradero de cabeza para los usuarios de Android, pero parece que por fin existen herramientas para combatirlo gracias al gran trabajo de Malwarebytes. En cualquier caso, lo más recomendable es que sigas nuestras recomendaciones de seguridad para evitar tener que enfrentarte al problema de eliminar este malware de tu dispositivo Android.