Conoce Atico34 - Solicita presupuesto
Ciberseguridad

Cómo eliminar el malware xHelper de Android

Es frecuente que los usuarios de teléfonos inteligentes con Android sean blanco de malware, lo cual no es sorprendente dado que existen más de 2.500 millones de dispositivos Android activos. Los cibercriminales siempre seguirán el dinero, y más usuarios significan más oportunidades para infectar. En este artículo Vamos a analizar en qué consiste xHelper, cómo funciona y la forma de eliminarlo de los dispositivos Android.

¿Qué es el xHelper?

El troyano Xhelper para Android no solo es sigiloso sino también prolífico. Un informe de Symantec indicó que la compañía de seguridad “observó un aumento en las detecciones” del malware que puede ocultarse de los usuarios y descargar aplicaciones maliciosas adicionales.

Sin embargo, el aspecto más preocupante de Xhelper es que es persistente. ¿Cómo de persistente?

Se puede reinstalar solo después de que los usuarios lo desinstalen, el malware sigue apareciendo incluso después de que los usuarios lo hayan desinstalado manualmente. Además, incluso un restablecimiento completo de fábrica no puede evitar que Xhelper vuelva a aparecer.

Xhelper no proporciona una interfaz de usuario normal. El malware es un componente de la aplicación, lo que significa que no aparecerá en el lanzador de aplicaciones del dispositivo. Esto facilita que el malware realice sus actividades maliciosas de forma encubierta.

Si bien los orígenes de xHelper se están investigando activamente, se sospecha de dos posibilidades diferentes: los usuarios de fuentes desconocidas pueden descargar una aplicación maliciosa atada con el malware, o una aplicación de sistema malicioso que descarga constantemente el malware a pesar de que los usuarios realizan restablecimientos de fábrica y desinstalaciones manuales.

Además de operar silenciosamente en segundo plano, xHelper lleva su comportamiento sigiloso a nuevas alturas al no crear un icono de aplicación o un icono de acceso directo en el iniciador de la pantalla de inicio.

No existe un icono de aplicación por lo que no es posible iniciar el malware de forma manual. Pero este problema puede solucionarse con disparadores externos, como reiniciar el dispositivo, conectarlo o desconectarlo de una fuente de alimentación o instalar o desinstalar una aplicación.

¿Qué síntomas provoca en los teléfonos Android?

Una vez que Xhelper se instala en el dispositivo de la víctima, empieza a realizar su actividad maliciosa descifrando en la memoria la carga maliciosa incluida en su paquete.

La carga útil maliciosa se conecta al servidor de comando y control (C&C) del atacante y espera los comandos. Para evitar que esta comunicación sea interceptada, la fijación de certificados SSL se utiliza para todas las comunicaciones entre el dispositivo de la víctima y el servidor C&C.

Después de una conexión exitosa con el servidor de C&C, es posible descargar cargas útiles adicionales como cuentagotas, clickers y rootkits en el dispositivo comprometido. El conjunto de malware almacenado en el servidor de C&C tiene una funcionalidad amplia y variada, que le brinda al atacante múltiples opciones, incluido el robo de datos o incluso el control completo del dispositivo.

En sus comienzos, en mayo de 2019, el código del malware era relativamente simple y su función principal era visitar páginas de publicidad con fines de monetización. El código ha cambiado con el tiempo. Inicialmente, la capacidad del malware para conectarse a un servidor C&C se escribió directamente en el mismo malware, pero más tarde esta funcionalidad se trasladó a una carga útil cifrada, en un intento de evadir la detección de firmas.

Algunas variantes anteriores incluían clases vacías que no se implementaron en ese momento, pero la funcionalidad ahora está totalmente habilitada.

Es decir, este malware no roba nuestros datos bancarios ni nuestras contraseñas. Lo que hace es enviarnos spam a través de pop-up de publicidad para que instalemos otras aplicaciones.

Versiones de xHelper

El malware xHelper se instala en el dispositivo de la víctima haciéndose pasar por una aplicación conocida para no ser detectado. Una vez instalado en el dispositivo, existen dos versiones o dos formas de manifestarse.

Semi-sigilosa

Es la que aparece cuando la aplicación se carga en la máquina. El icono del programa no aparece en el sistema, por lo que es menos probable que la víctima note la presencia del malware. Cuando se instala un troyano, comienza a enviar spam a la pantalla con anuncios, mostrando notificaciones y promocionando otros sitios y servicios. Se centra principalmente en operaciones que crean visitas, visitas a la página y generan ingresos de pago por clic.

Silenciosa

Esta versión es mucho más peligrosa. La distribución implica una caída de la carga útil de la primera etapa, por lo que los creadores pueden infectar la máquina con más amenazas maliciosas y comprometer configuraciones cruciales de la máquina.

Es posible que la víctima no vea ningún síntoma o rastro de la aplicación además de la pequeña indicación xhelper en las notificaciones o el título que aparece en el menú Información de la aplicación. Esta versión está diseñada para eliminar cargas secundarias y habilitar comandos remotos, permitir a los atacantes ejecutar procesos deseados.

¿Por qué es tan difícil de eliminar?

Como hemos indicado, lo que caracteriza a xHelper es su persistencia, es decir, es muy difícil de eliminar, incluso restableciendo el sistema.

La carga útil se cifra primero en el archivo /assets/firehelper.jar. Después de conectarse a un centro de comando y control (C2), el malware escaneará y enviará información del dispositivo, incluida la versión, el fabricante y el modelo del firmware del sistema operativo, al C2 antes de buscar un cuentagotas para otra carga útil, el troyano Triada, responsable del uso de un conjunto de exploits para obtener privilegios de root del dispositivo.

Una vez que se ha asegurado el acceso a la raíz, xHelper puede instalar archivos maliciosos directamente en la partición del sistema, así como cambiar el proceso de montaje de un modo predeterminado de solo lectura al modo de escritura.

Luego se ejecuta un script, llamado acertadamente forever.sh, para instalar parches y ejecutables, copiándose para iniciarse desde la partición al inicio.

Todos los archivos en las carpetas de destino tienen asignado el atributo inmutable, razón por la cual los usuarios tienen dificultades para eliminarlo.

Otro elemento de persistencia es una capa protectora alrededor de la partición, en la que la biblioteca del sistema /system/lib/libc.so ha sido alterada mediante la sustitución del código común utilizado por muchas aplicaciones de Android con el suyo.

En particular, el código utilizado por la función de montaje se altera para evitar que los usuarios monten la partición del sistema en modo de escritura.

Para empeorar las cosas, xHelper también elimina las aplicaciones de control de acceso raíz, como Superusuario.

Borrar xHelper usando Malwarebytes

Existen una serie de pasos establecidos por Malwarebytes para eliminar xHelper del dispositivo y evitar que vuelva a instalarse.

Cabe destacar que estas instrucciones dependen de que los usuarios instalen la aplicación Malwarebytes para Android, pero esta aplicación es de uso gratuito, por lo que no debería ser un problema para los usuarios.

Esos pasos son los siguientes:

  • Instala un administrador de archivos de Google Play con capacidad para buscar archivos y directorios. (por ejemplo File Manager de ASTRO).
  • Deshabilita Google PLAY temporalmente para detener la reinfección.
    • Ve a Configuración > Aplicaciones > Google Play Store
    • Presiona el botón Desactivar
  • Ejecuta un análisis en Malwarebytes para Android para identificar el nombre de la aplicación que oculta el malware xHelper. La desinstalación manual puede ser difícil, pero los nombres a buscar en la sección de información de las aplicaciones del sistema operativo Android son fireway, xhelper y Configuración ( solo si se muestran dos aplicaciones de configuración).
  • Abre el administrador de archivos y busca cualquier cosa en el almacenamiento comenzando con com.mufc .
  • Si lo encuentras, toma nota de la última fecha de modificación.
    • Ordenar por fecha en el administrador de archivos
    • En el Administrador de archivos de ASTRO, puedes ordenar por fecha en Ver configuración.
  • Elimina cualquier cosa que comience con com.mufc. y cualquier cosa con la misma fecha (excepto directorios principales como Descargar)
  • Vuelve a habilitar Google PLAY
    • Ve a Configuración > Aplicaciones > Google Play Store
    • Presiona el botón Habilitar

Cómo proteger tu dispositivo Android de xHelper y otros virus

El virus xHelper es un troyano móvil que emplea muchas técnicas para mantener el malware persistente. Hay más de una muestra descubierta, y los informes más recientes muestran que el troyano está en desarrollo y puede recibir actualizaciones. En el futuro se espera la progresión natural a una cepa más dañina que es aún más difícil de detectar.

Para al menos tratar de eliminar xHelper, las personas pueden confiar en programas antimalware y procesos de limpieza que posiblemente puedan indicar procesos maliciosos, programas con fines turbios, etc. SpyHunter 5, o Malwarebytes pueden ayudar a bloquear el contenido de los sitios maliciosos.

Sin embargo, para evitar la infiltración inicial de amenazas cibernéticas, debes tener cuidado al navegar por Internet y seleccionar cuidadosamente las páginas que se visitan comúnmente en el dispositivo móvil, ya que hay muchas variantes de malware que entregan la carga a través del contenido en línea.

Aunque la protección total es casi imposible, los consejos adicionales para la eliminación de xhelper o al menos evitarlos pueden ser:

  • mantener el software actualizado;
  • bloquear descargas sospechosas de sitios desconocidos;
  • instalar aplicaciones de fuentes confiables solamente;
  • prestar atención a los permisos y solicitudes que muestran las aplicaciones;
  • hacer copias de seguridad de tus datos más frecuentes.