Esta es la razón por la cual el malware vicioso xHelper resiste los borrados y reinicios de fábrica


xHelper es una forma de malware particularmente dañina y virulenta que se ha convertido en una espina para los usuarios de dispositivos móviles con Android.

Descubierto por primera vez en marzo de 2019 y una vez considerado irrevocable, pero aún considerado muy peligroso, el malware móvil se remonta a la descarga e instalación de aplicaciones fuera del repositorio oficial de aplicaciones de Android, Google Engage in Retail store, y a menudo se disfraza de un limpiador o utilidad de velocidad.

Al menos 45,000 dispositivos han sido afectados por el malware, con la mayoría de las infecciones centradas en Rusia.

Después de la instalación, la aplicación &#39utilidad&#39 de xHelper desaparece y solo se puede ver en la sección de aplicaciones instaladas. Sin embargo, los intentos de eliminar la aplicación mediante la eliminación y los reinicios de fábrica fallarán.

Si bien la persistencia de esta variante de malware es bien conocida, Kaspersky ahora ha profundizado en cómo xHelper puede resistir la eliminación y puede permanecer como un computer software peligroso y parásito en un dispositivo afectado.

El malware actúa como un troyano para realizar vigilancia, robar datos y también es capaz de descargar y ejecutar otros programas maliciosos, incluido Trojan-Dropper.AndroidOS.Necro.z, un cuentagotas de publicidad y software package malicioso.

Ver también: El nuevo malware xHelper &#39inamovible&#39 ha infectado 45,000 dispositivos Android

en un entrada de site el martes, El investigador de Kaspersky Igor Golovin publicó un análisis de los mecanismos de persistencia del malware.

La carga útil se cifra primero en el archivo /assets/firehelper.jar. Después de conectarse a un centro de comando y control (C2), el malware escaneará y enviará información del dispositivo, incluida la versión de firmware del sistema operativo, el fabricante y el modelo, al C2 antes de buscar un cuentagotas para otra carga útil, el troyano Triada, responsable del uso de un conjunto de exploits para obtener privilegios de root del dispositivo.

Una vez que se ha asegurado el acceso a la raíz, xHelper puede «instalar archivos maliciosos directamente en la partición del sistema», dicen los investigadores, así como cambiar el proceso de montaje del modo predeterminado de solo lectura al modo de escritura.

Luego se ejecuta un script, llamado acertadamente permanently.sh, para instalar parches y ejecutables, copiándose para iniciarse desde la partición al inicio.

Kaspersky dice que todos los archivos en las carpetas de destino tienen asignado el atributo inmutable, razón por la cual los usuarios tienen dificultades para eliminar el malware.

«El sistema no permite que incluso los superusuarios eliminen archivos con este atributo», dicen los investigadores. Kaspersky notó, sin embargo, que este mecanismo puede ser contrarrestado eliminando el atributo directamente usando el comando chattr.

CNET: Actualizaciones de coronavirus: Wuhan termina el bloqueo, primer ministro del Reino Unido en condición estable en la UCI

Otro elemento de persistencia descrito por el equipo es una capa protectora alrededor de la partición, en la que la biblioteca del sistema /procedure/lib/libc.so ha sido manipulada mediante la sustitución del código común utilizado por muchas aplicaciones de Android con el suyo.

En individual, el código utilizado por la función de montaje se modifica para evitar que los usuarios monten la partición del sistema en modo de escritura.

Para empeorar las cosas, xHelper también elimina las aplicaciones de control de acceso raíz, como Superusuario.

«Usar un teléfono inteligente infectado con xHelper es extremadamente peligroso», dice Kaspersky. «El malware instala una puerta trasera con la capacidad de ejecutar comandos como superusuario. Proporciona a los atacantes acceso completo a todos los datos de la aplicación y también puede ser utilizado por otro malware, por ejemplo, CookieThief».

TechRepublic: Coronavirus: lo que los profesionales de negocios necesitan saber

Simplemente eliminar la aplicación del malware no la destruirá, ya que el código malicioso puede reinstalarse al inicio.

Sin embargo, no todo está perdido si se convierte en víctima de este malware. Si bien Kaspersky recomienda volver a flashear su teléfono inteligente, como lo informó previamente ZDNet, los investigadores de Malwarebytes creen que han encontrado una manera de eliminar xHelper.

El equipo ha reunido un serie de pasos para seguir lo que debería evitar que xHelper se reinstale en un dispositivo comprometido.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia initial