Así es como se reinstala xHelper en Android aún después de restablecer de fábrica el dispositivo

0

Un investigador de seguridad cibernética logró descubrir cómo funciona el malware para Android xHelper

Un investigador de seguridad cibernética logró descubrir cómo funciona el malware para Android xHelper

xHelper es una pieza misteriosa de malware para Android que se reinstala en dispositivos aún después de que los usuarios lo eliminan o restablecen los dispositivos de fábrica.

Según los informes, xHelper infectó a más de 45 mil dispositivos el año pasado, y desde entonces, los investigadores de seguridad cibernética estuvieron tratando de descubrir cómo el malware sobrevive al restablecimiento de fábrica y cómo ha infectado a tantos dispositivos en primer lugar.

En una publicación de hoy, Igor Golovin, analista de malware de Kaspersky, finalmente resolvió el misterio al revelar detalles técnicos acerca del mecanismo de persistencia utilizado por el malware, y finalmente también descubrió cómo eliminar completamente xHelper de un dispositivo infectado.

Como el vector de ataque inicial y para su distribución, la aplicación de malware se disfraza como una aplicación de optimización de velocidad y limpiador popular para teléfonos inteligentes, que afecta principalmente a los usuarios en Rusia (80.56%), India (3.43%) y Argelia (2.43%).

«Pero en realidad, no existe nada útil al respecto: luego de la instalación, el limpiador simplemente desaparece y no se ve en ninguna parte ni en la pantalla principal ni en el menú del programa. Puede verlo solo inspeccionando la lista de aplicaciones instaladas en la configuración del sistema», dijo Golovin.

Una vez instalada por un usuario desprevenido, la aplicación maliciosa se registra a sí misma como un servicio en primer plano y luego extrae una carga útil cifrada que recopila y envía información de identidad del dispositivo objetivo a un servidor web remoto controlado por el atacante.

En el siguiente paso, la aplicación maliciosa ejecuta otra carga útil ofuscada que desencadena un conjunto de exploits de rooteo de Android e intenta obtener acceso administrativo al sistema operativo del dispositivo.

«El malware puede obtener acceso a la raíz principalmente en dispositivos con versiones de Android 6 y 7 de fabricantes chinos (incluidos los ODM)», dijo Golovin.

El malware se encuentra en silencio en el dispositivo y espera los comandos de los atacantes. Según un análisis previo del mismo malware realizado por investigadores de Symantec, utiliza la fijación de certificados SSL para evitar que su comunicación sea interceptada.

«El malware instala una puerta trasera con la capacidad de ejecutar comandos como superusuario. Proporciona a los atacantes acceso total a todos los datos de la aplicación y también puede ser utilizado por otro malware, por ejemplo, CookieThief».

Si el ataque tiene éxito, la aplicación maliciosa luego abusa del privilegio de root para instalar silenciosamente xHelper copiando directamente los archivos de paquetes maliciosos en la partición del sistema (/system/bin folder) después de volver a montarlo en el modo de escritura.

«A todos los archivos en las carpetas de destino se les asigna en el atributo inmutable, lo que dificulta la eliminación del malware porque el sistema ni siquiera permite que los superusuarios eliminen archivos con este atributo», dijo Golovin.

Algo interesante, es que aunque una aplicación de seguridad legítima o un usuario afectado podrían simplemente volver a montar la partición del sistema, de la misma forma, para eliminar de permanentemente el archivo de malware, xHelper también modifica una biblioteca del sistema (libc.so) con la intención de prevenir la infección y volver a montar la partición del sistema en el modo de escritura.

«Además de eso, el troyano descarga e instala varios programas maliciosos más y elimina las aplicaciones de control de acceso de root, como Superuser», dijo Golovin.

Según Kaspersky, reemplazar la biblioteca modificada con la del firmware original para un teléfono inteligente Android podría volver a habilitar la partición del sistema de montaje en el modo de escritura para eliminar permanentemente el malware xHelper para Android.

Sin embargo, en lugar de seguir un procedimiento tan complicado para deshacerse del malware, se aconseja a los usuarios afectados que simplemente vuelvan a flashear sus teléfonos con una copia nueva del firmware descargado del sitio web oficial de los proveedores o instalando un dispositivo diferente pero compatible.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *