El malware Xhelper continúa infectando dispositivos Android. Además, El troyano Xhelper permanece en el dispositivo incluso después de eliminarlo o restablecerlo por completo a la configuración de fábrica..
Según Nathan Collier, Analista senior de inteligencia de malware, El comportamiento de Xhelper está marcando el comienzo de una nueva era de malware móvil. La posibilidad de reinfección utilizando un directorio oculto que contiene un APK que podría evadir la detección es realmente aterradora.
“Esta es, con diferencia, la infección más desagradable que he encontrado como investigador de malware móvil. Generalmente un restablecimiento de fábrica, cual es la ultima opcion, resuelve incluso la peor infección. No recuerdo ningún momento en el que una infección persistiera después de un restablecimiento de fábrica a menos que el dispositivo viniera con malware preinstalado”., — dice Nathan Collier.
Los investigadores descubrieron Xhelper por primera vez en marzo 2019. En ese tiempo, la funcionalidad del malware era relativamente simple, y su función principal era monetizar las visitas a páginas publicitarias. Sin embargo, Esto no impidió que el malware entering the TOP 2019 threats.
Desde entonces, la mayoría de las aplicaciones de seguridad para dispositivos Android han agregado detección xHelper, pero resultó que deshacerse del malware no es tan sencillo.
Según los expertos de Malwabytes, xHelper no se distribuye como parte del malware preinstalado contenido en el firmware, pero utiliza la tienda Google Play para volver a infectar después de un reinicio completo del dispositivo o una limpieza con software antivirus.
“Hemos visto importantes aplicaciones del sistema preinstaladas infectadas con malware en el pasado.. Pero el propio Google PLAY!? Después de un análisis más detallado, determinamos que, No, Google PLAY no fue infectado con malware. Sin embargo, algo dentro de Google PLAY estaba provocando la reinfección, tal vez algo que estaba almacenado. Además, que algo también podría estar usando Google PLAY como cortina de humo, falsificarlo como la fuente de instalación de malware cuando en realidad, venía de otro lugar”, — explican los especialistas de Malwabytes.
Según los expertos, El malware hace creer que Google Play es una fuente de infección., cuando en realidad la instalación se realiza desde otro lugar.
Mientras analizaba archivos almacenados en uno de los teléfonos inteligentes Android comprometidos de las víctimas, se descubrió que el descargador de troyanos estaba integrado en el APK ubicado en el directorio com.mufc.umbtts.
Los expertos aún no han podido determinar cuál es el papel de Google Play en el proceso de infección..
"Aquí está la parte confusa: En ninguna parte del dispositivo aparece que Trojan.Dropper.xHelper.VRW esté instalado. Creemos que se instaló, corrió, y se desinstala nuevamente en cuestión de segundos para evadir la detección, todo mediante algo activado desde Google PLAY. Aún se desconoce el “cómo” detrás de esto. Es importante darse cuenta de que, a diferencia de las aplicaciones, Los directorios y archivos permanecen en el dispositivo móvil Android incluso después de un restablecimiento de fábrica.. Por lo tanto, hasta que se eliminen los directorios y archivos, el dispositivo seguirá infectándose”, — escriben los investigadores.
Se recomienda a los usuarios que apaguen la tienda Google Play., y luego comenzar a escanear el dispositivo con un programa antivirus. De lo contrario, el malware seguirá regresando a pesar de eliminarlo del dispositivo.