Este malware para Android se está reinstalando solo incluso al restaurar de

Publicado en 'Ciencias' por Jos.Smir., 14 Feb 2020, 02:36.





  1. Jos.Smir.

    Jos.Smir. Miembro de oro Plus

    Registro:
    24 Ene 2017
    Mensajes:
    9,690
    Likes:
    15,570
    Temas:
    5,587




    Este malware para Android se está reinstalando solo incluso al restaurar de fábrica el móvil
    [​IMG]
    Un malware generalmente acabas desinstalándolo mediante un antivirus o encontrando directamente los archivos de forma manual. En el peor de los casos borras todo el PC o teléfono restaurándolo de fábrica para asegurarte de que se ha eliminado todo. O no, porque hay algunos malwares que parecen persistir e instalarse solos de nuevo incluso al restaurar todo el dispositivo. Es lo que está ocurriendo con el troyano xHelper en los móviles Android y los expertos en seguridad aún no saben cómo lo consigue.

    Según una investigación de Malwarebytes, un virus llamado xHelper que fue descubierto ya el año pasado, está consiguiendo no morir en los dispositivos a los que infecta incluso cuando se resetean de fábrica. Se trata de un malware relativamente pequeño, según los analistas tan sólo lo han detectado en alrededor de 33.000 dispositivos y principalmente en Estados Unidos. Su propósito es servir como troyano para ejecutar desde fuera comandos en remoto en el dispositivo y así instalar por ejemplo aplicaciones no autorizadas. Los permisos que un malware obtiene en un teléfono pueden ser de lo más variados.

    Pero a pesar de lo poco que se ha propagado (o que sabemos que se ha propagado), es sin duda un malware a tener en cuenta por su capacidad de resistir a ser eliminado. Básicamente cada vez que el usuario elimina el malware este aparece de nuevo una hora más tarde en el mismo directorio del sistema de archivos. De hecho, ni tras borrar todo el teléfono y restaurarlo de cero es posible librarse del troyano.
    El virus para smartphones más resistente que se conoce
    Así lo han calificado los investigadores, como el malware más resistente que han visto en un móvil. Descubrieron que la fuente de las reinfecciones eran una serie de carpetas que al encender el móvil instalaban la APK de xHelper. Se eliminan estas carpetas y se evita que vuelvan a instalar xHelper, ¿no? No. Para sorpresa de los investigadores, las carpetas no se eliminaban ni de forma manual ni tras borrar todo el teléfono Android.
    [​IMG]
    Archivos que contienen el malware xHelper. Vía Malwarebytes.

    Dicen desde Malwarebytes que aún no han sido capaces de saber cómo exactamente xHelper se mantiene en el teléfono tras borrar todo el sistema. Al principio creían que daba a entender al teléfono que estaban dentro de una microSD para que el teléfono no borrase los archivos, pero descartaron esta idea ya que también ocurría en teléfonos sin microSD. Lo único que saben a ciencia cierta de momento es que de alguna forma el malware persiste gracias a Google Play.

    La solución temporal que han encontrado es desactivar la app Google Play Store de los ajustes del sistema y posteriormente eliminar las carpetas de xHelper de forma manual desde el sistema de archivos. La mayoría de los virus basados para Android acompañan a una app que ha sido instalada por el usuario y así entran en el teléfono. Pero Malwarebytes ha encontrado que de alguna manera el troyano xHelper se está implementando desde la propio Play Store.

    Android utiliza algunas carpetas permanentes en el sistema que no son eliminadas al reinstalar el sistema operativo. Estas carpetas contienen archivos para ejecutar las funciones básicas del teléfono. En principio nadie debería tener acceso a estas carpetas más allá de Google y Android en sí, pero parece ser que pueden ser manipuladas.

    Fuente: Xataka
     
    A James Howlett y moelio les gustó este mensaje.


  2. Jarabedepalo

    Jarabedepalo Miembro de plata

    Registro:
    26 Oct 2016
    Mensajes:
    3,206
    Likes:
    1,409
    Temas:
    457
    El "coronavirus" de los celulares. No sé encuentra la cura.
     
    A Jos.Smir. le gustó este mensaje.
  3. moelio

    moelio Miembro diamante

    Registro:
    13 Ene 2012
    Mensajes:
    15,664
    Likes:
    10,966
    Temas:
    1,164
    Si no se puede eliminar ni restaurando el fono a los valores de fábrica, los hackers la hicieron bien esta vez.
     
    A Jos.Smir. le gustó este mensaje.
  4. Jos.Smir.

    Jos.Smir. Miembro de oro Plus

    Registro:
    24 Ene 2017
    Mensajes:
    9,690
    Likes:
    15,570
    Temas:
    5,587
    Demasiado bien quizás haya algún tipo de vulnerabilidad en google play. :mmm:

    Cómo eliminar las reinfecciones de xHelper
    Si experimenta reinfecciones de xHelper, a continuación se explica cómo eliminarlo:
    • Recomendamos encarecidamente instalar Malwarebytes para Android (gratis).
    • Instale un administrador de archivos de Google PLAY que tenga la capacidad de buscar archivos y directorios.
      • Amelia usó File Manager de ASTRO.
    • Deshabilite Google PLAY temporalmente para detener la reinfección.
      • Vaya a Configuración > Aplicaciones > Google Play Store
      • Presione el botón Desactivar
    • Ejecute un análisis en Malwarebytes para Android para eliminar xHelper y otro malware.
      • La desinstalación manual puede ser difícil, pero los nombres a buscar en la información de las aplicaciones son fireway , xhelper y Settings ( solo si se muestran dos aplicaciones de configuración).
    • Abra el administrador de archivos y busque cualquier cosa en el almacenamiento que comience con com.mufc.
    • Si encuentra, tome nota de la última fecha de modificación.
      • Consejo profesional: ordenar por fecha en el administrador de archivos
      • En el Administrador de archivos de ASTRO, puede ordenar por fecha en Ver configuración
    • Elimine cualquier cosa que comience con com.mufc. y cualquier cosa con la misma fecha (excepto directorios principales como Descargar ):
    [​IMG]
    • Vuelva a habilitar Google PLAY
      • Vaya a Configuración > Aplicaciones > Google Play Store
      • Presione el botón Habilitar
    • Si la infección aún persiste, comuníquese con nosotros a través del soporte de Malwarebytes .
     
    A moelio le gustó este mensaje.
  5. moelio

    moelio Miembro diamante

    Registro:
    13 Ene 2012
    Mensajes:
    15,664
    Likes:
    10,966
    Temas:
    1,164
    De hecho que encontraron algo en el Google Play y justamente por eso es que Google debería solucionar el problema inmediatamente porque no todas las personas saben manipular las diferentes configuraciones de sus telefónos para solucionar el tema.
     
    A Jos.Smir. le gustó este mensaje.