Se han registrado nuevas campañas de infección, con una nueva pieza de malware denominada Xhelper, la cual ha comprometido a más de 45.000 dispositivos Android en solo seis meses y continúa propagándose a gran velocidad. Los investigadores a cargo estimaron que Xhelper infecta al menos a 2.400 dispositivos en promedio cada mes, principalmente en los países de India, EE. UU. y Rusia.
Xhelper es una aplicación de Android dropper persistente que puede reinstalarse a sí mismo incluso después de que los usuarios intenten desinstalarlo. Los expertos señalan que varios usuarios publicaron sobre Xhelper en foros en línea para ayuda, los cuales se quejaban de constantes anuncios emergentes aleatorios. Los usuarios de Android informaron que a pesar de reiniciar sus dispositivos y también borrar la amenaza, Xhelper sigue presente.
Este malware es un componente de aplicación que no figura en el launcher de aplicaciones del dispositivo, la aplicación maliciosa se inicia por eventos externos (es decir, cuando el dispositivo comprometido está conectado o desconectado de una fuente de alimentación, el dispositivo se reinicia o se instala una aplicación o desinstala).
Una vez ejecutado, el malware se registrará como un servicio en primer plano, una vez en el dispositivo, ejecuta su núcleo malicioso, con la funcionalidad de desencriptar en la memoria el payload incrustado en su paquete. El malware luego se conecta al servidor de comando y control (C&C), a la espera de comandos, los expertos notaron que el malware encripta las comunicaciones e implementa la técnica de certificate pinning para evitar ataques MiTM.
Hay sospechas de que el código malicioso está incluido en una aplicación del sistema pre-instalada en los dispositivos Android en ciertas marcas de teléfonos. Los investigadores señalaron que la muestra que analizaron no estaba disponible en Google Play Store.
Se puede dar por hecho de que Xhelper se está propagando al d8escargar aplicaciones no confiables desde fuentes de terceros. Se aconseja a los usuarios que tomen las siguientes precauciones, para evitar ser infectado por este malware:
- Mantenga su software actualizado.
- No descargue aplicaciones de sitios desconocidos.
- Sólo instale aplicaciones de fuentes confiables.
- Revisar con mucha atención los permisos solicitados por las aplicaciones.
- Instalar una aplicación de seguridad móvil.
- Realizar copias de seguridad frecuentes de datos importantes.
REFERENCIA
COMENTARIOS