Análisis de malware

Malware xHelper: qué es, cómo funciona y cómo prevenirlo | Destacado malware

26 de agosto de por Daniel Brecht

Las investigaciones muestran que el malware se propaga y se dirige específicamente a los usuarios de dispositivos móviles. El Informe de tendencias de mitad de año de de Check Point muestra que los ciberataques dirigidos a teléfonos inteligentes y otros dispositivos móviles aumentaron un 50 % en comparación con. Muchos usuarios ahora confían en soluciones antimalware móviles, con resultados mixtos; Algunos programas maliciosos se han diseñado de manera que les permitan eludir eficazmente las defensas y continuar actuando contra los usuarios, según su alcance. Uno de esos programas maliciosos generalizados es xHelper.

xHelper se vio por primera vez en marzo de e inmediatamente demostró ser difícil de identificar y eliminar. Como resultado, se agregó a la lista general de los 10 principales programas maliciosos en el puesto 8 y apareció en el Índice de amenazas globales de Check Point de noviembre como uno de los programas maliciosos móviles más frecuentes. En el verano de, Malwarebytes agregó este troyano Android multipropósito a su lista de los 10 principales malware móviles más detectados.

¿Qué es xHelper?

xHelper pertenece a la familia de goteros troyanos que distribuyen malware en dispositivos móviles. Infectó rápidamente más de 45.000 dispositivos durante un período de seis meses en. Desde entonces, ese número ha seguido aumentando a cientos diarios, y este malware sigue mostrándose fuerte en.

Una de las peculiaridades de xHelper es su resistencia a cualquier forma de detección y eliminación. Los usuarios pueden incluso realizar restablecimientos de fábrica, y el malware pronto vuelve a aparecer y continúa prosperando en sus dispositivos móviles. «El malware permanece silenciosamente en el dispositivo y espera órdenes de los atacantes». También «modifica una biblioteca del sistema (libc.so) con la intención de evitar que los usuarios infectados vuelvan a montar la partición del sistema en modo de escritura».

También son molestas las ventanas emergentes intrusivas o las notificaciones spam, los redireccionamientos que muestran anuncios o promociones de otros sitios y servicios que generan ingresos de pago por clic. Todos estos son ejemplos de la versión semi-sigilosa de xHelper, que, tras la instalación, crea un icono en las notificaciones titulado «xhelper».

También existe otra versión, una variante más sigilosa del malware. Esto se considera más peligroso, ya que no sólo puede infectar dispositivos Android con amenazas más maliciosas, sino que también puede comprometer la configuración del dispositivo infectado. Es una versión oculta porque durante la instalación, no se crean íconos en las notificaciones; la única evidencia de su presencia es una simple lista de xHelper en la sección de información de la aplicación.

Trabajando en segundo plano, xHelper también puede ocultar casi todos los rastros de su existencia. De hecho, este malware está diseñado para permanecer oculto y no aparecer en el iniciador del sistema.

1 . El código xHelper utilizado para eliminar aplicaciones del iniciador de aplicaciones (arriba) y enumerar aplicaciones en el iniciador (abajo) — Symantec Enterprise Blogs Threat Intelligence

Según May Ying Tee y Tommy Dong, ingenieros de software del equipo de respuesta y tecnología de seguridad de Symantec, el componente de aplicación de xHelper no sólo ha desconcertado a los investigadores por su capacidad de ocultarse y no aparecer en el iniciador del sistema, sino que además «la aplicación maliciosa se inicia mediante eventos externos, como cuando el dispositivo comprometido se conecta o desconecta de una fuente de alimentación, se reinicia el dispositivo o se instala o desinstala una aplicación”.

También mencionan que el código xHelper no es un malware estático. De hecho, ha cambiado con el tiempo y su funcionalidad también se ha expandido dramáticamente más recientemente. Por lo tanto, todavía hay muchas incógnitas con las variantes de xHelper.

2. Código de manifiesto de xHelper que muestra los eventos que desencadenarán el malware : Symantec Enterprise Blogs Threat Intelligence

¿Cómo funciona xHelper?

Igor Golovin, de Kaspersky, describe el malware como un esquema estilo matrioska, una «muñeca rusa» que utiliza un proceso de infección de múltiples etapas, que «se disfraza como una popular aplicación de limpieza y aceleración» en los teléfonos inteligentes Android. Ha estado afectando principalmente a usuarios en Rusia (80,56%), India (3,43%) y Argelia (2,43%) y molestando a los usuarios al descargar e instalar adware de aplicaciones de terceros y mostrar anuncios y ventanas emergentes irritantes. Los usuarios también han informado que xHelper es tan resistente que sobrevive a los restablecimientos de fábrica .

Un ejemplo es el llamado Android/Trojan.Dropper.xHelper que está vinculado a un rompecabezas llamado NewHD con el nombre de paquete com.mufc.fireuvw , que ya no aparece en la tienda de aplicaciones Google Play pero sí en mercados de terceros. . Los infectados por xHelper han sido, en el pasado, víctimas afectadas principalmente por teléfonos inteligentes económicos fabricados en China con Android 6 Marshmallow o Android 7 Nougat, y que obtienen sus aplicaciones de fuentes distintas a la tienda oficial Google Play.

3. El rompecabezas llamado NewHD

Los expertos en seguridad y analistas de malware descubrieron que el popular juego matemático, después de la instalación, podría lanzar su propia carga útil para recuperar datos del consumidor y cargarlos en una URL específica o en el número de teléfono de los creadores del malware a través de SMS. Además, posiblemente fuera responsable de una mayor infección del dispositivo al instalar archivos maliciosos directamente en la partición del sistema.

El malware xHelper no es un formato de archivo .apk estándar almacenado en el Directorio de activos. En cambio, es un archivo .dex legible por máquina con una extensión .jar (con el nombre de archivo xhelperdata.jar o firehelper.jar) que descarga e instala (o «elimina») adware en los dispositivos. Utilizando un conjunto de exploits, puede instalar archivos maliciosos directamente en la partición del sistema.

Hasta ahora, nadie tiene una idea clara de cómo permanece instalado xHelper , pero Emma Davis, autora de How To Fix Guide, cree que el malware sobrevive utilizando directorios especiales que crea en el dispositivo y donde oculta su APK. Como descubren los usuarios, la aplicación permanece instalada en /system/. Se les recomienda ir a la configuración de permisos de la aplicación y bloquear/deshabilitar las notificaciones de xHelper para borrar completamente todos los rastros del malware, así como deshacerse de las molestas ventanas emergentes y anuncios.

Cómo prevenir xHelper

Siempre se recomienda instalar un programa antivirus para Android que pueda detectar malware antes de implementarlo en el sistema. Si sospecha de malware, descargue un programa antimalware legítimo que proteja contra Trojan.Dropper.xHelper al menos hasta cierto punto.

Hay algunas aplicaciones de seguridad útiles para que los usuarios las descarguen en Google Play. Por ejemplo, Sophos Intercept X for Mobile analiza en busca de malware, comprueba los medios de almacenamiento en busca de contenido malicioso o inapropiado, bloquea sitios web malévolos y más. Esta aplicación protege un dispositivo Android de forma gratuita. De lo contrario, se puede optimizar un teléfono con Trend Micro Mobile Security para Android , que ofrece protección contra malware y amenazas web, además de acceso no deseado al dispositivo. También puede restaurar la configuración normal del teléfono inteligente. Sin embargo, este producto no es gratuito.

Si, independientemente de las defensas implementadas, xHelper ha infectado su dispositivo móvil, entonces una de las formas que podría ayudar a evitar que se reinfecte una y otra vez utilizando un directorio oculto que contiene un APK es desactivar Google PLAY temporalmente para detener la reinfección mientras se realizan limpiezas y reinicios.

Para volver a habilitar Google Play:

También en el Administrador de archivos, continúe y elimine todo lo que comience con com.mufc. Este es el consejo de Nathan Collier, analista senior de inteligencia de malware, en el comentario de Malwarebytes sobre cómo eliminar las reinfecciones de xHelper .

4. Uso de un administrador de archivos de Android para eliminar las carpetas mufc y todo su contenido

Catalin Cimpanu, reportero de seguridad de ZDNet, sugiere lo siguiente: “La única forma de eliminar xHelper [puede ser] realizar una actualización completa del dispositivo reinstalando todo el sistema operativo Android, una solución que no fue posible para todos los usuarios infectados, muchos de los cuales no tuvieron acceso a las imágenes correctas del firmware del sistema operativo Android para realizar una actualización”.

Finalmente, asegúrese de enviar un informe si encuentra una aplicación que cree que infringe las Políticas de contenido de Google Play .

Conclusión

xHelper es un troyano móvil casi inmortal con la capacidad de reinstalarse solo; de hecho, los usuarios no pueden eliminarlo incluso después de realizar un reinicio completo en su teléfono. xHelper es un gran ejemplo de por qué los usuarios deben tener mucho cuidado con cualquier cosa que descarguen, incluso de tiendas oficiales como Google Play y más, de fuentes de terceros.

Al fin y al cabo, mejorar la concienciación sobre la seguridad es clave para la resistencia al malware y siempre es la primera línea de defensa cuando el usuario está involucrado.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes