Los investigadores de seguridad han tardado casi diez meses en descubrir un método confiable para limpiar teléfonos inteligentes infectados con xHelper, un tipo de malware de Android que, hasta hace poco, era imposible de eliminar.
La técnica de eliminación se explain al last de este artículo, pero primero un poco de contexto para los lectores que desean obtener más información sobre xHelper.
Esta cepa de malware en individual ha causado bastante dolor a los usuarios de todo el mundo en los últimos diez meses. El malware se detectó por primera vez en marzo de 2019, cuando los usuarios comenzaron a quejarse en varios foros de Online sobre una aplicación que no pudieron eliminar, incluso después de restablecer la fábrica.
Estas aplicaciones fueron responsables de persuadir a los usuarios con anuncios emergentes intrusivos y notificaciones de spam. Nada realmente malicioso, pero sigue siendo muy molesto.
A medida que avanzaba el año, las campañas xHelper ampliaron el alcance del malware, infectando cada vez más dispositivos. Según un informe de Malwarebytes, había alrededor 32,000 dispositivos infectados en agosto, un número que luego alcanzó 45,000 a fines de octubre, cuando los investigadores de Symantec también publicaron su propio informe sobre la amenaza.
Según los investigadores, la fuente de estas infecciones fueron los «redireccionamientos world-wide-web» que enviaron a los usuarios a páginas world wide web que albergaban aplicaciones de Android. Los sitios instruyeron a los usuarios sobre cómo cargar aplicaciones no oficiales de Android desde fuera de Perform Store. El código oculto en estas aplicaciones finalmente descargó e instaló el troyano xHelper.
Pero aunque descubrir su origen, alcance y punto de infección fue fácil, lo que confundió a los investigadores de seguridad el año pasado fue que no podían eliminar el malware de un dispositivo mediante métodos tradicionales, como desinstalar la aplicación xHelper first o restablecer la configuración de fábrica.
Cada vez que un usuario restablecía de fábrica el dispositivo, el malware simplemente aparecía unas horas más tarde, reinstalándose sin interacción del usuario.
Imagen: ZDNet
La única forma de eliminar xHelper period realizar una actualización completa del dispositivo reinstalando todo el sistema operativo Android, una solución que no period posible para todos los usuarios infectados, muchos de los cuales no tenían acceso a las imágenes correctas del firmware del sistema operativo Android para realizar reflash
Surgen algunas pistas
Desde que descubrieron el malware el año pasado, los investigadores de seguridad de Malwarebytes han seguido investigando la amenaza.
En una publicación de site de hoy, el equipo de Malwarebytes dice que aunque todavía no han descubierto exactamente cómo se reinstala el malware, sí descubrieron suficiente información sobre su modus operandi para eliminarlo definitivamente y evitar que xHelper se reinstale después de la fábrica restablece
El equipo de Malwarebytes dice que xHelper aparentemente ha encontrado una manera de usar un proceso dentro de la aplicación Google Enjoy Retailer para activar la operación de reinstalación.
Con la ayuda de directorios especiales que había creado en el dispositivo, xHelper estaba ocultando su APK en el disco para sobrevivir a los reinicios de fábrica.
«A diferencia de las aplicaciones, los directorios y los archivos permanecen en el dispositivo móvil Android incluso después de un restablecimiento de fábrica», dice Nathan Collier, analista senior de inteligencia de malware en Malwarebytes.
Collier cree que una vez que la aplicación Google Engage in Retail outlet realizó una operación aún por determinar (supuestamente algún tipo de escaneo), se reinstaló.
Instrucciones de eliminación
Collier ahora ha reunido una serie de pasos que los usuarios pueden seguir para eliminar el malware xHelper de los dispositivos y evitar que se reinstale.
Cabe destacar que estas instrucciones dependen de que los usuarios instalen la aplicación Malwarebytes para Android, pero esta aplicación es de uso gratuito, por lo que no debería ser un problema para los usuarios.
Paso 1: Instale un administrador de archivos de Google Perform que tenga la capacidad de buscar archivos y directorios. (Ej: Amelia usó File Manager por ASTRO).
Paso 2: Deshabilita Google Enjoy temporalmente para detener la reinfección.
- Ir Configuraciones > Aplicaciones > Google Participate in Retail outlet
- prensa Inhabilitar botón
Paso 3: Ejecute un análisis en Malwarebytes para Android para identificar el nombre de la aplicación que oculta el malware xHelper. La desinstalación manual puede ser difícil, pero los nombres a buscar en el sistema operativo Android Información de aplicaciones sección son chimenea, xhelpery Configuraciones (solamente si se muestran dos aplicaciones de configuración).
Etapa 4: Abra el administrador de archivos y busque cualquier cosa en el almacenamiento comenzando con com.mufc.
Paso 5: Si se encuentra, tome nota de la última fecha de modificación.
- Ordenar por fecha en el administrador de archivos
- En File Manager by ASTRO, puede ordenar por fecha en Ver configuraciones.
Paso 6: Eliminar cualquier cosa que comience con com.mufc. y cualquier cosa con la misma fecha (excepto directorios principales como Descargar):
Imagen: Malwarebytes
Paso 7: Vuelva a habilitar Google Play
- Ir Configuraciones > Aplicaciones > Google Perform Keep
