Un malware generalmente acabas desinstalándolo mediante un antivirus o encontrando directamente los archivos de forma manual. En el peor de los casos borras todo el PC o teléfono restaurándolo de fábrica para asegurarte de que se ha eliminado todo. O no, porque hay algunos malwares que parecen persistir e instalarse solos de nuevo incluso al restaurar todo el dispositivo. Es lo que está ocurriendo con el troyano xHelper en los móviles Android y los expertos en seguridad aún no saben cómo lo consigue.
Según una investigación de Malwarebytes, un virus llamado xHelper que fue descubierto ya el año pasado, está consiguiendo no morir en los dispositivos a los que infecta incluso cuando se resetean de fábrica. Se trata de un malware relativamente pequeño, según los analistas tan sólo lo han detectado en alrededor de 33.000 dispositivos y principalmente en Estados Unidos. Su propósito es servir como troyano para ejecutar desde fuera comandos en remoto en el dispositivo y así instalar por ejemplo aplicaciones no autorizadas. Los permisos que un malware obtiene en un teléfono pueden ser de lo más variados.
Pero a pesar de lo poco que se ha propagado (o que sabemos que se ha propagado), es sin duda un malware a tener en cuenta por su capacidad de resistir a ser eliminado. Básicamente cada vez que el usuario elimina el malware este aparece de nuevo una hora más tarde en el mismo directorio del sistema de archivos. De hecho, ni tras borrar todo el teléfono y restaurarlo de cero es posible librarse del troyano.
El virus para smartphones más resistente que se conoce
Así lo han calificado los investigadores, como el malware más resistente que han visto en un móvil. Descubrieron que la fuente de las reinfecciones eran una serie de carpetas que al encender el móvil instalaban la APK de xHelper. Se eliminan estas carpetas y se evita que vuelvan a instalar xHelper, ¿no? No. Para sorpresa de los investigadores, las carpetas no se eliminaban ni de forma manual ni tras borrar todo el teléfono Android.
Dicen desde Malwarebytes que aún no han sido capaces de saber cómo exactamente xHelper se mantiene en el teléfono tras borrar todo el sistema. Al principio creían que daba a entender al teléfono que estaban dentro de una microSD para que el teléfono no borrase los archivos, pero descartaron esta idea ya que también ocurría en teléfonos sin microSD. Lo único que saben a ciencia cierta de momento es que de alguna forma el malware persiste gracias a Google Play.
La solución temporal que han encontrado es desactivar la app Google Play Store de los ajustes del sistema y posteriormente eliminar las carpetas de xHelper de forma manual desde el sistema de archivos. La mayoría de los virus basados para Android acompañan a una app que ha sido instalada por el usuario y así entran en el teléfono. Pero Malwarebytes ha encontrado que de alguna manera el troyano xHelper se está implementando desde la propio Play Store.
Android utiliza algunas carpetas permanentes en el sistema que no son eliminadas al reinstalar el sistema operativo. Estas carpetas contienen archivos para ejecutar las funciones básicas del teléfono. En principio nadie debería tener acceso a estas carpetas más allá de Google y Android en sí, pero parece ser que pueden ser manipuladas.
Vía | Malwarebytes
Ver 19 comentarios