Crédito:CC0 Public Domain
Lo llaman desagradable, oh, la reinfección de todo, y furtivo por una buena razón:es todo eso, conocido por los observadores de dolores de cabeza como xHelper, que resulta no ser de ninguna ayuda una vez infectado. El malware xHelper fue identificado como un gotero troyano.
¿Un gotero troyano? Instala APK maliciosos en su teléfono sin su conocimiento o permiso, dijo TechRadar .
Nathan Collier, analista de malware, Malwarebytes, una empresa que como su nombre indica se dedica al negocio de la ciberseguridad, conoce de primera mano sobre este software malicioso y su uso persistente de tácticas de reinfección.
Android Trojan xHelper es tan desagradable? Collier escribió que "esta es, con mucho, la infección más desagradable que he encontrado como investigador de malware móvil". Su trabajo siempre lo llevó a creer que, aunque la última opción, un restablecimiento de fábrica podría resolver incluso la peor infección.
No esta vez.
Realmente, dijo Collier, la empresa sabía de esto en 2019. Con el tiempo, informó Dan Goodin en Ars Technica , Malwarebytes aprendería a través de la detección de su aplicación antivirus de Android que xHelper estaba en 33, 000 dispositivos "ubicados principalmente en EE. UU., convirtiendo al malware en una de las principales amenazas de Android ".
Considere el informe de Symantec en octubre de 2019.
"Symantec ha observado un aumento en las detecciones de una aplicación maliciosa de Android que puede ocultarse de los usuarios, descargar aplicaciones maliciosas adicionales, y mostrar anuncios ".
Symantec logró su capacidad de reinstalarse a sí mismo incluso después de que los usuarios lo hayan desinstalado. Symantec dijo que fue diseñado para permanecer oculto. No aparecería en el lanzador del sistema.
"La aplicación ha infectado a más de 45 000 dispositivos en los últimos seis meses ". Al principio, el código del malware era relativamente simple, pero con el tiempo el código cambió. "Inicialmente, la capacidad del malware para conectarse a un servidor C&C se escribió directamente en el malware mismo, pero más tarde esta funcionalidad se trasladó a una carga útil cifrada, en un intento de evadir la detección de firmas. Algunas variantes más antiguas incluían clases vacías que no se implementaron en ese momento, pero la funcionalidad ahora está completamente habilitada. Como se describió anteriormente, La funcionalidad de Xhelper se ha expandido drásticamente en los últimos tiempos ".
Para noviembre de 2019, Bruce Schneier en Bulevar de seguridad Sabía que no era fácil intentar localizar al culpable. "Es una extraña pieza de malware, ", comentó." Ese nivel de persistencia le habla a un actor del estado-nación. La continua evolución del malware implica un actor organizado. Pero enviar anuncios no deseados es demasiado ruidoso para un uso serio. Y el mecanismo de infección es bastante aleatorio. No lo sé ".
Mientras tanto, Collier acercó a sus lectores a tiempos recientes, cuando "un usuario experto en tecnología se puso en contacto con nosotros a principios de enero de 2020 en el foro de soporte de Malwarebytes:'Tengo un teléfono que está infectado con el virus xhelper. Este dolor tenaz sigue reapareciendo'".
De nuevo, la maldad residía en su persistencia. Collier informó que "Malwarebytes para Android ya había eliminado con éxito dos variantes de xHelper y un agente troyano de su dispositivo móvil. El problema era, seguía volviendo una hora después de la eliminación. xHelper se reinfectaba una y otra vez ".
Collier dijo que este aspecto de xHelper se destaca para él porque no podía recordar un momento en el que persistiera una infección después de un restablecimiento de fábrica, a menos que el dispositivo venga con malware preinstalado.
A diferencia de las aplicaciones, Los directorios y archivos permanecen en el dispositivo móvil Android incluso después de un restablecimiento de fábrica. Por lo tanto, hasta que se eliminen los directorios y archivos, el dispositivo seguirá infectando. "Afortunadamente, Tuve la ayuda de Amelia que fue tan persistente como el propio xHelper para encontrar una respuesta y guiarnos a nuestra conclusión ".
¿El culpable? En 2020, Collier hizo algunos avances. Investigó y esto es lo que encontró. "Escondido dentro de un directorio llamado com.mufc.umbtts había otro paquete de aplicación de Android (APK). El APK en cuestión era un cuentagotas troyano al que rápidamente llamamos Android / Trojan.Dropper.xHelper.VRW. Es responsable de eliminar una variante de xHelper, que posteriormente lanza más malware en segundos ".
Más del misterio flota en:En ninguna parte del dispositivo parecía que estaba instalado Trojan.Dropper.xHelper.VRW. "Creemos que instaló, corrió, y se desinstala nuevamente en segundos para evadir la detección, todo por algo que se activa desde Google PLAY. El 'cómo' detrás de esto aún se desconoce ".
Afortunadamente, Collier escribió sobre los pasos a seguir, para abordar xHelper. Tenía instrucciones detalladas. Collier en primer lugar recomendó instalar Malwarebytes gratuito para Android.
Dijo que instale un administrador de archivos de Google PLAY que tenga la capacidad de buscar archivos y directorios. Amelia usó File Manager de ASTRO. Collier dijo que deshabilite Google PLAY temporalmente, para detener la reinfección. Más instrucciones seguidas en la lista.
Collier concluyó llevando a sus lectores a un panorama más amplio:podríamos haber entrado en una nueva era en el malware móvil. "La capacidad de reinfectar usando un directorio oculto que contiene un APK que puede evadir la detección es a la vez aterradora y frustrante. Continuaremos analizando este malware entre bastidores. Mientras tanto, esperamos que esto al menos termine el capítulo de esta variante particular de xHelper ".
Gato Ellis, TechRadar :"Si empiezas a ver nuevos íconos de notificaciones y aplicaciones que no reconoces, existe la posibilidad de que su teléfono se haya infectado con este tipo de malware, aunque no siempre es obvio; El malware a menudo se disfraza de aplicaciones legítimas del sistema, y los iconos se pueden ocultar ".
© 2020 Science X Network