Xhelper un Malware que Afecta Miles de Dispositivos Android

Xhelper la aplicación de cuentagotas de Android, un malware persistente que ha infectado 45 Mil dispositivos en los últimos 6 meses según informe de la compañía de seguridad Symantec.

La aplicación, llamada Xhelper, es persistente. Se puede reinstalar sola después de que los usuarios la desinstalen y está diseñada para mantenerse oculta al no aparecer en el iniciador del sistema. Ademas puede descargar aplicaciones maliciosas adicionales y mostrar anuncios.

Como actúa Xhelper

Xhelper no proporciona una interfaz de usuario normal. El malware es un componente de la aplicación, lo que significa que no aparecerá en el lanzador de aplicaciones del dispositivo. Esto permite que el malware realice sus actividades maliciosas de forma encubierta.

Xhelper no se puede iniciar manualmente ya que no hay ningún icono de aplicación visible en el iniciador. En cambio, la aplicación maliciosa se inicia por eventos externos, como cuando el dispositivo comprometido está conectado o desconectado de una fuente de alimentación, el dispositivo se reinicia o se instala o desinstala una aplicación.

Una vez lanzado, el malware se registrará como un servicio en primer plano, reduciendo sus posibilidades de ser eliminado cuando la memoria es baja. Por persistencia, el malware reinicia su servicio si se detiene; Una táctica común utilizada por el malware móvil.

Una vez que Xhelper se establece en el dispositivo de la víctima, comienza a ejecutar su funcionalidad maliciosa central al descifrar en la memoria la carga maliciosa incrustada en su paquete. La carga útil maliciosa luego se conecta al servidor de comando y control (C&C) del atacante y espera los comandos.

Para evitar que esta comunicación sea interceptada, la fijación de certificados SSL se utiliza para todas las comunicaciones entre el dispositivo de la víctima y el servidor C&C.

Luego de una conexión exitosa con el servidor de C&C, se pueden descargar cargas útiles adicionales como cuentagotas, clickers y rootkits en el dispositivo comprometido. Creemos que el conjunto de malware almacenado en el servidor de C&C tiene una funcionalidad amplia y variada, que le brinda al atacante múltiples opciones, incluido el robo de datos o incluso la toma completa del dispositivo.

Fuentes de descarga de Xhelper

Ninguna de las muestras que analizamos estaba disponible en Google Play Store, y aunque es posible que el malware Xhelper sea descargado por usuarios de fuentes desconocidas, creemos que puede no ser el único canal de distribución.

Se ha determinado que estas aplicaciones se instalan con mayor frecuencia en ciertas marcas de teléfonos. Sin embargo, se cree que es poco probable que Xhelper venga preinstalado en los dispositivos móviles dado que estas aplicaciones no tienen ninguna indicación de ser aplicaciones del sistema.

Numerosos usuarios se han quejado en los foros sobre la presencia persistente de este malware en sus dispositivos, a pesar de realizar restablecimientos de fábrica y desinstalarlo manualmente.

Es poco probable que estas aplicaciones sean aplicaciones de sistemas, esto sugiere que otra aplicación de sistema malicioso está descargando persistentemente el malware, que es algo que Symantec está investigando actualmente (esté atento al blog de Threat Intelligence para obtener más información al respecto).

Protección contra Xhelper

Se recomienda a los usuarios que tomen las siguientes precauciones:

  • Mantenga su software actualizado.
  • No descargue aplicaciones de sitios desconocidos.
  • Solo instale aplicaciones de fuentes confiables.
  • Presta mucha atención a los permisos solicitados por las aplicaciones.
  • Instale una aplicación de seguridad móvil adecuada, como Norton o Symantec Endpoint Protection Mobile , para proteger su dispositivo y sus datos.
  • Realice copias de seguridad frecuentes de datos importantes.

Articulo informe original Symantec

UA-24391787-5