Este malware para Android se está reinstalando solo incluso al restaurar de fábrica el móvil

Cristian Rus

Unmalwaregeneralmente acabas desinstalándolo mediante un antivirus o encontrando directamente los archivos de forma manual. En el peor de los casos borras todo el PC o teléfono restaurándolo de fábrica para asegurarte de que se ha eliminado todo. O no, porque hay algunosmalwaresque parecenpersistir e instalarse solos de nuevo incluso al restaurar todo el dispositivo. Es lo que está ocurriendo con el troyano xHelper en los móviles Android y los expertos en seguridad aún no saben cómo lo consigue.

Según unainvestigación de Malwarebytes, un virus llamado xHelper que fue descubierto ya el año pasado, está consiguiendo no morir en los dispositivos a los que infecta incluso cuando se resetean de fábrica. Se trata de unmalwarerelativamente pequeño, según los analistas tan sólo lo han detectado en alrededor de 33.000 dispositivos y principalmente en Estados Unidos. Su propósito esservir como troyano para ejecutar desde fuera comandosen remoto en el dispositivo y así instalar por ejemplo aplicaciones no autorizadas. Lospermisos que unmalwareobtiene en un teléfonopueden ser de lo más variados.

Pero a pesar de lo poco que se ha propagado (o que sabemos que se ha propagado), es sin duda unmalwarea tener en cuenta por su capacidad de resistir a ser eliminado. Básicamente cada vez que el usuario elimina elmalwareesteaparece de nuevo una hora más tarde en el mismo directoriodel sistema de archivos. De hecho, ni tras borrar todo el teléfono y restaurarlo de cero es posible librarse del troyano.

El virus para smartphones más resistente que se conoce

Así lo han calificado los investigadores, comoelmalwaremás resistente que han visto en un móvil. Descubrieron que la fuente de las reinfecciones eran una serie de carpetas que al encender el móvil instalaban la APK de xHelper. Se eliminan estas carpetas y se evita que vuelvan a instalar xHelper, ¿no? No. Para sorpresa de los investigadores, las carpetas no se eliminaban ni de forma manual ni tras borrar todo el teléfono Android.

Dicen desde Malwarebytes queaún no han sido capaces de saber cómo exactamente xHelper se mantieneen el teléfono tras borrar todo el sistema. Al principio creían que daba a entender al teléfono que estaban dentro de una microSD para que el teléfono no borrase los archivos, pero descartaron esta idea ya que también ocurría en teléfonos sin microSD. Lo único que saben a ciencia cierta de momento es que de alguna forma elmalwarepersiste gracias a Google Play.

La solución temporal que han encontrado esdesactivar la app Google Play Store de los ajustes del sistema y posteriormente eliminar las carpetas de xHelperde forma manual desde el sistema de archivos. La mayoría de los virus basados para Android acompañan a una app que ha sido instalada por el usuario y así entran en el teléfono. Pero Malwarebytes ha encontrado que de alguna manera el troyano xHelper se está implementando desde la propio Play Store.

Android utiliza algunas carpetas permanentes en el sistemaque no son eliminadas al reinstalar el sistema operativo. Estas carpetas contienen archivos para ejecutar las funciones básicas del teléfono. En principio nadie debería tener acceso a estas carpetas más allá de Google y Android en sí, pero parece ser que pueden ser manipuladas.

Vía |Malwarebytes