{"id":1641,"date":"2019-11-11T09:30:06","date_gmt":"2019-11-11T15:30:06","guid":{"rendered":"http:\/\/blogs.uo.edu.cu\/seginf\/?p=1641"},"modified":"2019-11-11T09:38:02","modified_gmt":"2019-11-11T15:38:02","slug":"nuevo-malware-en-android-que-se-reinstala-a-si-mismo","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=1641","title":{"rendered":"Nuevo malware en Android que se reinstala a s\u00ed mismo."},"content":{"rendered":"

\"\"<\/a><\/p>\n

Un gran n\u00famero de usuarios han reportado que sus dispositivos han sido infectados por un nuevo malware que se reinstala a si mismo despu\u00e9s de haber sido desinstalado del terminal o incluso despu\u00e9s de realizar un factory reset del dispositivo.<\/p>\n

Xhelper, que es como ha sido bautizado el malware y que ha infectado a m\u00e1s de 45.000 dispositivos en s\u00f3lo seis meses y se calcula que de media puede infectar a 2.400 dispositivos cada mes aproximadamente, de acuerdo con un reporte publicado recientemente por Symantec.<\/p>\n

Investigadores de Symantec no han logrado encontrar la fuente exacta desde la que el malware Xhelper ha podido ser distribuido, o si viene empaquetado a trav\u00e9s de otra app maliciosa. Symantec sospecha que la descarga de la aplicaci\u00f3n maliciosa se realiza desde aplicaciones leg\u00edtimas de algunas marcas.
\n
\n\"\"<\/a><\/p>\n

En un reporte distinto, publicado por Malwarebytes hace dos meses, se hace referencia a que Xhelper puede estar propag\u00e1ndose a trav\u00e9s de redirecciones web que solicitan al usuario la descarga de aplicaciones desde repositorios no confiables.<\/p>\n

Una vez instalada, Xhelper no tiene una interfaz de usuario como tal. En lugar de ello, se instala como un componente de aplicaci\u00f3n. Con esto Xhelper consigue no aparecer en el launcher de aplicaciones en un intento por mantenerse oculto al usuario.<\/p>\n

Para lanzarse, Xhelper se sirve de eventos externos producidos por el usuario; como son conectar\/desconectar el dispositivo infectado a la red el\u00e9ctrica, reiniciarlo o instalar\/desinstalar una app.<\/p>\n

Una vez ejecutado, el malware se conecta al servidor C2 usando un canal cifrado para descargar payloads adicionales en el terminal comprometido, como pueden ser droppers, clickers y rootkits.<\/p>\n

Los investigadores creen que el c\u00f3digo fuente de Xhelper aun no est\u00e1 terminado ya que en variantes antiguas se inclu\u00edan clases vac\u00edas que no estaban implementadas, pero que ahora si lo est\u00e1n.<\/p>\n

Los usuarios afectados se encuentran mayormente en India, Rusia y EEUU.<\/p>\n

Dado que la fuente de infecci\u00f3n de Xhelper no est\u00e1 aun muy clara, se deben tomar algunas precauciones b\u00e1sicas, como son:<\/p>\n