Un malware para Android, llamado xHelper, que se hace pasar por una aplicación de limpieza ha llegado a decenas de miles de smartphones que utilizan sistemas operativos de Google. Aunque la aplicación existe desde hace un año, ahora los expertos de ciberseguridad han vuelto a advertir sobre este malware. Esto se debe a que resulta muy difícil de localizar y casi imposible de borrar de los dispositivos afectados. Una vez instalado, xHelper ya no aparece en la vista general de las aplicaciones; solo se puede ver en la lista de las aplicaciones instaladas el el menú del sistema. Incluso después de llevar a cabo un restablecimiento de fábrica, la app vuelve a instalarse y vuelve a recuperar los datos del usuario.
No todo el mundo sigue la regla de oro: no descargar aplicaciones de tiendas de aplicaciones no oficiales. Es así como xHelper ha podido llegar a tantos dispositivos. Se instala desde fuentes no oficiales de aplicaciones y actualmente está en decenas de miles de dispositivos que utilizan versiones anteriores de Android, como Android 6 o Android 7. Cuando se descarga la aplicación maliciosa, los datos del dispositivo se mandan a un servidor. Después de este robo de datos, más malware—por ejemplo, para espiar—se descarga.
El troyano Xhelper para Android no solo es sigiloso sino también prolífico. Un informe de Symantec indicó que la compañía de seguridad “observó un aumento en las detecciones” del malware que puede ocultarse de los usuarios y descargar aplicaciones maliciosas adicionales.
Sin embargo, el aspecto más preocupante de Xhelper es que es persistente. ¿Cómo de persistente?
Se puede reinstalar solo después de que los usuarios lo desinstalen, el malware sigue apareciendo incluso después de que los usuarios lo hayan desinstalado manualmente. Además, incluso un restablecimiento completo de fábrica no puede evitar que Xhelper vuelva a aparecer.
Xhelper no proporciona una interfaz de usuario normal. El malware es un componente de la aplicación, lo que significa que no aparecerá en el lanzador de aplicaciones del dispositivo. Esto facilita que el malware realice sus actividades maliciosas de forma encubierta.
Si bien los orígenes de xHelper se están investigando activamente, se sospecha de dos posibilidades diferentes: los usuarios de fuentes desconocidas pueden descargar una aplicación maliciosa atada con el malware, o una aplicación de sistema malicioso que descarga constantemente el malware a pesar de que los usuarios realizan restablecimientos de fábrica y desinstalaciones manuales.
Además de operar silenciosamente en segundo plano, xHelper lleva su comportamiento sigiloso a nuevas alturas al no crear un icono de aplicación o un icono de acceso directo en el iniciador de la pantalla de inicio.
No existe un icono de aplicación por lo que no es posible iniciar el malware de forma manual. Pero este problema puede solucionarse con disparadores externos, como reiniciar el dispositivo, conectarlo o desconectarlo de una fuente de alimentación o instalar o desinstalar una aplicación.
Una vez que Xhelper se instala en el dispositivo de la víctima, empieza a realizar su actividad maliciosa descifrando en la memoria la carga maliciosa incluida en su paquete.
La carga útil maliciosa se conecta al servidor de comando y control (C&C) del atacante y espera los comandos. Para evitar que esta comunicación sea interceptada, la fijación de certificados SSL se utiliza para todas las comunicaciones entre el dispositivo de la víctima y el servidor C&C.
Después de una conexión exitosa con el servidor de C&C, es posible descargar cargas útiles adicionales como cuentagotas, clickers y rootkits en el dispositivo comprometido. El conjunto de malware almacenado en el servidor de C&C tiene una funcionalidad amplia y variada, que le brinda al atacante múltiples opciones, incluido el robo de datos o incluso el control completo del dispositivo.
En sus comienzos, en mayo de 2019, el código del malware era relativamente simple y su función principal era visitar páginas de publicidad con fines de monetización. El código ha cambiado con el tiempo. Inicialmente, la capacidad del malware para conectarse a un servidor C&C se escribió directamente en el mismo malware, pero más tarde esta funcionalidad se trasladó a una carga útil cifrada, en un intento de evadir la detección de firmas.
Algunas variantes anteriores incluían clases vacías que no se implementaron en ese momento, pero la funcionalidad ahora está totalmente habilitada.
Es decir, este malware no roba nuestros datos bancarios ni nuestras contraseñas. Lo que hace es enviarnos spam a través de pop-up de publicidad para que instalemos otras aplicaciones.
