Misterioso malware que se reinstala solo infectado en más de 45,000 teléfonos Android

Noticias 20 de marzo de 2022

Programa malicioso para Android Xhelper

En los últimos meses, cientos de usuarios de Android se han quejado en línea de una nueva pieza de malware misterioso que se esconde en los dispositivos infectados y, según se informa, puede reinstalarse incluso después de que los usuarios lo eliminen o restablezcan la configuración de fábrica de sus dispositivos.

Doblado Xayudanteel malware ya ha infectado más de 45.000 dispositivos Android en los últimos seis meses y continúa propagándose al infectar al menos 2.400 dispositivos en promedio cada mes, según el último informe publicado hoy por Symantec.

A continuación, he recopilado extractos de algunos comentarios que los usuarios afectados compartieron en los foros en línea mientras preguntaban cómo eliminar el malware Xhelper para Android:

«xhelper se reinstala regularmente, ¡casi todos los días!»

 «La configuración ‘instalar aplicaciones de fuentes desconocidas’ se activa sola».

 «Reinicié mi teléfono y también lo borré, pero la aplicación xhelper volvió».

 «Xhelper vino preinstalado en el teléfono desde China».

 «No compre teléfonos de marcas baratas».

¿De dónde viene el malware Xhelper para Android?

Aunque los investigadores de Symantec no encontraron la fuente exacta de donde proviene la aplicación maliciosa empaquetada con el malware Xhelper, la empresa de seguridad sospechó que una aplicación de sistema malicioso preinstalada en dispositivos Android de ciertas marcas en realidad descargó el malware.

eliminar el malware de Android Xhelper

«Ninguna de las muestras que analizamos estaba disponible en Google Play Store, y aunque es posible que los usuarios descarguen el malware Xhelper de fuentes desconocidas, creemos que ese puede no ser el único canal de distribución», escriben los investigadores de Symantec en su informe.

«Según nuestra telemetría, hemos visto que estas aplicaciones se instalan con mayor frecuencia en ciertas marcas de teléfonos, lo que nos lleva a creer que los atacantes pueden estar enfocándose en marcas específicas».

En un informe separado publicado hace dos meses por Malwarebytes, los investigadores creían que el malware Xhelper se está propagando mediante «redirecciones web» u «otros sitios web sospechosos» que incitan a los usuarios a descargar aplicaciones de fuentes de terceros no confiables.

¿Cómo funciona el software malicioso Xhelper?

Una vez instalado, Xhelper no proporciona una interfaz de usuario normal; en cambio, se instala como un componente de la aplicación que no aparece en el iniciador de aplicaciones del dispositivo en un intento de permanecer oculto para los usuarios.

Para iniciarse, Xhelper se basa en algunos eventos externos activados por los usuarios, como conectar o desconectar el dispositivo infectado de una fuente de alimentación, reiniciar un dispositivo o instalar o desinstalar una aplicación.

Una vez lanzado, el malware se conecta a su servidor de comando y control remoto a través de un canal encriptado y descarga cargas útiles adicionales como droppers, clickers y rootkits en los dispositivos Android comprometidos.

«Creemos que el conjunto de malware almacenado en el servidor de C&C es amplio y variado en funcionalidad, lo que le brinda al atacante múltiples opciones, incluido el robo de datos o incluso la toma completa del dispositivo», dicen los investigadores.

Los investigadores creen que el código fuente de Xhelper aún es un trabajo en progreso, ya que algunas de sus «variantes más antiguas incluían clases vacías que no se implementaron en ese momento, pero la funcionalidad ahora está completamente habilitada».

El malware Xhelper se ha visto dirigido a usuarios de teléfonos inteligentes Android principalmente en India, Estados Unidos y Rusia.

Aunque muchos productos antivirus para Android detectan el malware Xhelper, aún no pueden eliminarlo de forma permanente ni bloquearlo para que no se reinstale en los dispositivos infectados.

Dado que la fuente del malware aún no está clara, se recomienda a los usuarios de Android que tomen precauciones simples pero efectivas como:

  • mantener actualizados los dispositivos y las aplicaciones,
  • evitar descargas de aplicaciones de fuentes desconocidas,
  • siempre preste mucha atención a los permisos solicitados por las aplicaciones,
  • hacer copias de seguridad de los datos con frecuencia, y
  • instale una buena aplicación antivirus que proteja contra este malware y amenazas similares.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested