Un gran número de usuarios han reportado que sus dispositivos han sido infectados por un nuevo malware que se reinstala a si mismo después de haber sido desinstalado del terminal o incluso después de realizar un factory reset del dispositivo.
Xhelper, que es como ha sido bautizado el malware y que ha infectado a más de 45.000 dispositivos en sólo seis meses y se calcula que de media puede infectar a 2.400 dispositivos cada mes aproximadamente, de acuerdo con un reporte publicado recientemente por Symantec.
Investigadores de Symantec no han logrado encontrar la fuente exacta desde la que el malware Xhelper ha podido ser distribuido, o si viene empaquetado a través de otra app maliciosa. Symantec sospecha que la descarga de la aplicación maliciosa se realiza desde aplicaciones legítimas de algunas marcas.
En un reporte distinto, publicado por Malwarebytes hace dos meses, se hace referencia a que Xhelper puede estar propagándose a través de redirecciones web que solicitan al usuario la descarga de aplicaciones desde repositorios no confiables.
Una vez instalada, Xhelper no tiene una interfaz de usuario como tal. En lugar de ello, se instala como un componente de aplicación. Con esto Xhelper consigue no aparecer en el launcher de aplicaciones en un intento por mantenerse oculto al usuario.
Para lanzarse, Xhelper se sirve de eventos externos producidos por el usuario; como son conectar/desconectar el dispositivo infectado a la red eléctrica, reiniciarlo o instalar/desinstalar una app.
Una vez ejecutado, el malware se conecta al servidor C2 usando un canal cifrado para descargar payloads adicionales en el terminal comprometido, como pueden ser droppers, clickers y rootkits.
Los investigadores creen que el código fuente de Xhelper aun no está terminado ya que en variantes antiguas se incluían clases vacías que no estaban implementadas, pero que ahora si lo están.
Los usuarios afectados se encuentran mayormente en India, Rusia y EEUU.
Dado que la fuente de infección de Xhelper no está aun muy clara, se deben tomar algunas precauciones básicas, como son:
- Actualizar el firmware del dispositivo y mantener las aplicaciones también actualizadas.
- Evitar descargar apps desde fuentes no confiables.
- Prestar siempre atención a los permisos solicitados durante la instalación de aplicaciones nuevas.
- Hacer backups con frecuencia.
- Instalar un buen antivirus que proteja de este malware y amenazas similares, como puede ser Koodous.
Fuente: Xhelper: Persistent Android dropper app infects 45K devices in past 6 months