Un peligroso malware de Android resiste incluso un reseteo de fábrica

Con solo siete meses de existencia, un malware llamado xHelper ya había entrado en el Top 10 de malware de MalwareBytes en agosto y, a día de hoy, Symantec ha detectado al menos 45.000 infecciones.

El malware se está distribuyendo a través de sitios web que animan a los usuarios a instalar aplicaciones en su dispositivo. Dichas  aplicaciones instalan el troyano xHelper en el dispositivo.

Después de la instalación, la aplicación comienza a mostrar spam mediante notificaciones y anuncios emergentes que animan al usuario a descargar otras aplicaciones o a jugar juegos online. Esa es probablemente la principal fuente de ingresos para los desarrolladores de la aplicación, ya que cada clic o instalación les permite ganar una pequeña cantidad de dinero.

La aplicación viene en dos variantes: semi-stealth y full-stealth. En ambos casos, la app no crea un icono de aplicación o un icono de acceso directo para que los usuarios no noten la presencia de la aplicación en su dispositivo. Esto también impide desinstalar fácilmente la app de sus dispositivos.

La única forma en que un usuario de un smartphone notaría su presencia es gracias al icono de notificación xHelper que acompaña a estas notificaciones de anuncios en la variante semi-stealth de la aplicación. La variante «full-stealth» ni siquiera tiene eso.

xHelper está diseñado para funcionar como un servicio en primer plano que se activa en diversas situaciones, como cuando el dispositivo arranca o cuando la alimentación es conectada/desconectada. Una vez hecho esto, incluso si desinstalas la aplicación con la que viene xHelper, el malware continúa en el dispositivo.

Si detienes manualmente el servicio, xHelper lo reiniciará. Si eliminas el servicio, xHelper reaparecerá. Si haces un reset de fábrica, xHelper volverá inexplicablemente. Hasta ahora, los investigadores de Symantec han sido incapaces de descifrar el mecanismo a través del cual la aplicación puede resucitarse a sí misma de entre los muertos, incluso después de un restablecimiento de fábrica.

Con el fin de mantener tu dispositivo lo más seguro posible, no deberías cargar aplicaciones fuera de la Play Store, especialmente de sitios web desconocidos.

Aunque hasta ahora el único comportamiento que se ha detectado es la aparición de publicidad, los investigadores indican que el servicio también establece conexiones a un servidor remoto con el fin de recibir comandos. Esto podría permitir al malware llevar a cabo acciones mucho más peligrosos que mostrar publicidad.