Cuidado con este virus de Android: no se elimina ni formateando

Virus

El malware en móviles se está convirtiendo cada vez en algo más sofisticado. Los móviles son más y más seguros, dificultando los exploits y las infecciones. Sin embargo, siempre se descubren algunos que consiguen saltarse los mejores mecanismos de protección, como es el caso de xHelper, que se mantiene en el móvil incluso después de formatearlo.

xHelper: ni un factory reset puede eliminar este malware de tu móvil Android

Este malware, descubierto por Symantec, fue descubierto inicialmente en mayo de 2019. En los últimos seis meses ha infectado a más de 45.000 móviles por todo el mundo, la mayoría en Estados Unidos, Rusia e India. Este malware, que es un troyano, se encuentra en el top 10 de malwares más detectados. En el último mes se han infectado más de 2.400 dispositivos, con una media de 131 al día.

desinstalar aplicacion android

Este malware no es sólo peligroso por poder descargar malware adicional o mostrar anuncios, sino que hace todo esto escondido sin que el usuario se dé cuenta y se reinstala cuando el usuario lo borra. La primera vez que se ejecuta se registra a sí mismo como un proceso en primer plano, de forma que no se cierra ni siquiera cuando hay poca memoria disponible. Si se detiene el servicio, se vuelve a ejecutar.

Desinstalar la aplicación no sirve de nada, ni tampoco hacer un factory reset. La única opción, si tenemos el móvil rooteado y un recovery modificado, es hacer un wipe completo del móvil, incluyendo sobre todo la partición del sistema. Si no lo tenemos rooteado, actualmente no hay ninguna forma de eliminarlo, teniendo que esperar a que los antivirus encuentren la forma de hacerlo. Desde Symantec están estudiando si hay otra aplicación del sistema que es la que se encarga de descargar el malware, lo cual tendría sentido porque un factory reset borra todas las aplicaciones instaladas en el espacio del usuario al margen del sistema.

El origen del malware es incierto, pero Symantec apunta a que se está incluyendo en aplicaciones modificadas que los usuarios descargan de fuentes desconocidas. MalwareBytes apunta que el origen podrían ser páginas de juegos que incitan a los usuarios a descargar aplicaciones de fuentes no fiables.

Ha infectado ya a más de 45.000 móviles en 6 meses

Encontrar la app es complicado, ya que ésta esconde su icono del cajón de aplicaciones, y sólo aparece en el listado de ajustes. Para ejecutarse, aprovecha como triggers acciones que nosotros hagamos en el móvil, como conectarlo a la corriente, reiniciarlo, o instalar o desinstalar otras apps, lo cual dificulta mucho su detección.

En la actualidad, el malware «sólo» está bombardeando con anuncios a los usuarios infectados, pero tiene plena capacidad para instalar otro malware más sofisticado y peligroso en cualquier momento, pudiendo tomar el control total de nuestro móvil para robar nuestros datos.

xHelper está en constante evolución, y sus creadores van añadiendo más y más código. En las últimas modificaciones se encuentran bastantes referencias a Jio, el segundo mayor operador de India con 300 millones de usuario, lo que indica que planean un ataque en el futuro a los usuarios de esa red.

Por «suerte», el malware no está incluido en ninguna app disponible en la Play Store, por lo que si te ciñes a descargar aplicaciones de ahí no deberías tener ningún problema. Symantec ha detectado, no obstante, que hay marcas muy concretas que se ven afectadas por el malware, aunque descartan que éste venga preinstalado.

Escrito por Alberto García

Fuente > ADSLZone

Continúa leyendo
  • EsMikeBonesCasiNormal

    hablad de INE que gracias a movistar orange vodafone, nos rastrearan todos los movimientos desde el movil «Segun dicen anonimamente JAJA»

    • Alberto García
      • juan carlos otero

        A eso llamas «hablar ayer»? Ayer os habéis limitado a repetir mansamente, como un miembro más del rebaño, la información que os ha querido dar el INE o las compañías. Ni un amago de crítica a ésta salvaje violación de nuestra intimidad. Esto es un escándalo mayúsculo y habéis optado por correr un tupido velo. Avergonzados deberíais estar por vuestra actitud borreguil.

        • Alberto García

          Los datos se van a compartir de forma totalmente anónima. Y en lugar de gastarse el INE 150 millones de euros en encuestadores, el coste es de sólo 500.000 euros; 300 veces más barato, y con datos más fiables que repercutirán en nuestro bienestar. Google y Facebook ya saben todo lo que haces y no te lucras de ello, y al menos de esta forma tendremos algún beneficio con mejores líneas de transporte público y mejores carreteras. Así que no, no vamos a criticar una cosa que nos parece muy bien.

          • juan carlos otero

            Y tú te lo crees… para ti la perra gorda.

            • Total GOOGLE y APPLE ya te controlan y obtienen tus datos, seguido del operador ISP que es el segundo que obtiene tus datos, ¿qué más te da que otro te controle?

              • juan carlos otero

                No. Google no me controla. Yo elijo qué comparto y qué permisos otorgo. Y en todo caso, el teléfono o las cuenta Google la elegí yo, pero dar mis datos al INE no fue mi elección . Ok si a ti te da igual, a mí me rompe mucho los huevos

                • Te iría bien informarte un poco. Lo que te permite hacer google es desactivar SABER lo que ellos obtienen de ti, Google te seguirá robando tus datos por mucho que lo desactives y lo se muy bien porque yo nada más comprar mi smartphone quite TODAS esas opciones y no sirvio de nada porque hace unos dos meses me dio por descargar una copia de todo lo que tenia google de mi y me saco 15GB de datos de los cuales eran todas las FOTOS, VIDEOS, CONVERSACIONES DE VOZ, CONVERSACIONES DE TEXTO, COMENTARIOS DE YT, BUSQUEDAS DE YT y GOOGLE, pero sobretodo las coordenadas GPS de mi localización cada 10 minutos desde que compre el smartphone hasta la fecha.

                  Lo tengo todo desactivado y aun así COMO SI NADA. Así que si crees que no te controlan por tener todo desactivado ESTAS TOTALMENTE EQUIVOCADO.

                  Y no, a mi no me da igual, es mi privacidad y me importa pero no hay nada que hacer, cualquier cosa que tenga internet ya está violando tu privacidad, cuando abres chrome o firefox o el que sea lo primero que hace es obtener tus datos, Windows lo primero que hace al encender es pasar Telemetria en todas las unidades y mandársela a Microsoft y aunque creas que está desactivado se lo pasa por el forro, es inevitable a menos que vivas en la montaña totalmente desconectado de internet y aun así lo dudo con los satélites que estés libre. Yo no hago fotos o vídeos privados pero si los hiciera google tendría una copia y es que si, fotos de esas que hago por hacer de prueba y borro las tienen, de hecho hasta pude recuperar fotos y vídeos que perdí por joderse un disco duro y en aquel entonces no tenia smartphone, no solo eso, tienen incluso fotos de mi primer móvil con cámara de 0.3MPx, que eso en aquella época era la ostia, ese móvil no tiene USB, no tiene WIFI, no tiene BT, no tiene ninguna forma de sacar las fotos pero Google las tiene, como coño tiene esos datos de algo que no tiene ninguna forma de conectarse a internet? y ni me acordaba de esas fotos.

                • juan carlos otero

                  Si no tienes activados los servicios de Google, ni cuenta de Google en tu teléfono, Google no tiene NINGUNA foto que hayas sacado con tu móvil. Infórmate de cómo hacerlo, porque es posible.

                • Google tiene más de lo que debería y como te digo tienen fotos de un Samsung de estos viejos con pantalla de 320×240 a color cuyo SO era más cerrado que un candado y la única forma de sacar las fotos es por un puerto infarrojo (IrDa) del cual no tengo ninguna forma de pasar al PC pero ya digo que Google tiene todas las fotos que hice con ese móvil. Incluso tienen vídeos de vídeos de prueba que hice para el insti y que borre por ser más que pruebas, ¿por qué google tiene esos vídeos que nunca han salido de mi ordenador ni lo he subido a internet ni nada?

                  Y por supuesto he intentado mirar todas las opciones y formas de desactivar todo el rastreo de google pero como si nada, siguen obteniendo fotos, vídeos y las coordenadas GPS, las conversaciones de chat a menos que inicie sesión no las obtiene y las de voz solo si digo «Ok google» que es cuando escucha. (esto te lo informa en las condiciones de uso) claro, tienen muchas conversaciones de empresa «que es privado» debido a que un compañero le decía a su Smartphone «Ok Google» para recordatorios y esas cosas y al parecer el mio también escuchaba y como tengo en mute y la pantalla con brillo mínimo no me entere de esas veces. Flipo la verdad.

                  Es como la publicidad, empiezas hablando de un tema o haces algo en un PC sin meterme en internet y luego te salen anuncios relacionados, por ejemplo, en mi caso escuchan el PC, hace una semana que los compañeros se pusieron al Terraria (juego) y en el móvil google play Store me están saliendo ademas del juego en android guias y chats así como otros juegos parecidos de temática, mi smartphone no lo conecto al PC para nada y no inicio sesión en google desde el PC ni tengo nada de google instalado y aun así sabe que estoy al terraria. En serio, google sabe más de mi que yo.

                  Hace un mes o así mis compis (son así, cambian de juego de golpe sin más cada 2 – 3 meses) el caso es que me metieron al Heroes y en el playStore me salia pues como no, todo lo de blizzard. Y anterior a esto al Monster Hunter World y todo era guías y soundboards de Monster Hunter….

  • Taiel Huentemil

    Cual es la aplicacion?

  • Rodrigo Espinosa

    Es un malware que explota alguna debilidad de Android en el registro de apps de «sistema», ya que con un factory reset lo único que no toca son esas apps, las marcadas como System.

  • Garloch

    Que descartan que venga de serie? Jajaja, en el oukitel c8 de mi madre lo tenia desde el primer dia y anda que no han tardado en encontrar este malware…. Lleva dando por culo desde hace mas de 1 año y lo encuentran ahora….

  • Una vez intentando hacer root me toco usar un programa chino, no había de otra, el programa era fiable pero lo compro otra empresa y le hizo de todo, en el PC se te instalaban más de 20 programas chinos y en el smartphone otros 20 más. El PC tiene arreglo fácil, el Smartphone no tanto, pero poco a poco logre quitar todo excepto uno. Una de las apps se instalo en la carpeta del sistema y cambio el nombre de Ajustes por ajustes2 y reemplazo el ajustes original, aunque mostraba la pantalla de ajustes de android en realidad eran capturas de baja calidad y no funcionaba nada, de fondo mostraba anuncios de forma continua. Los antivirus detectaban el malware pero no podían borrarlo porque era parte del SISTEMA, hacer un hard reset no serviría ya que si el malware ha reemplazado el original seria perder tiempo y por tanto tendría esa mierda y sin root. Así que tras buscar y no encontrar nada, al final como tenia root, di permisos para ver la partición del sistema a través del PC, encontré el APK de ajustes original con otro nombre (ajustes2) y borre el ajustes y lo reemplace por el ajustes2 y luego de reiniciar el smartphone se acabo el problema, ajustes original y nada del malware :D.

    No se podría hacer algo parecido con este malware?

  • juan carlos otero

    La primera fase del ‘rastreo’ que realizará el INE de los móviles de los españoles tendrá lugar entre el 18 y el 21 de noviembre. El organismo utilizará estos datos para realizar un estudio con información anónima que recogerá la posición de los números, pero no los titulares. Trabajará con los tres principales operadores (Movistar, Vodafone y Orange), aunque hay formas de evitar que obtenga nuestros datos.

    Quienes lo tienen más fácil -sin contar a los usuarios de Digi, Lebara, LlamaYa, MásMóvil, Pepephone y Yoigo, que no participan en el estudio- son los clientes de Vodafone (y Lowi, que pertenece a esta compañía), ya que se pueden dar de baja del estudio directamente desde la aplicación.

    Para hacerlo deben entrar en Mi cuenta y una vez ahí en Permisos y preferencias, donde es posible seleccionar la opción ‘No acepto que Vodafone ceda datos anonimizados’. En el caso de Lowi el proceso es similar, pero la opción se encuentra en ‘Permisos y preferencias’, a la que se accede desde Mi Lowi, Configuración y después Notificaciones.

    Por su parte, quienes utilicen Orange tal vez ya lleguen tarde para la primera parte del estudio, pues deberán comunicarle a la empresa que no quieren formar parte del estudio. Pueden hacerlo por correo ordinario (con la referencia ‘protección de datos’) o por correo electrónico (a la dirección orangeproteccion.datos@orange.com).

    ¿Y si soy cliente de Movistar? En este caso, por desgracia, no hay una forma sencilla de no participar en el estudio, ya que el operador no ofrece esta opción. Sin embargo, se puede tomar una decisión más drástica, activar el modo avión y desactivar los datos durante los días que dure el estudio.

    Por el momento no se sabe si la empresa facilitará una alternativa de cara a la siguiente fase del estudio, aunque parece complicado, ya que también será esta misma semana: el domingo 24 de noviembre. Los siguientes días elegidos por el INE son el 25 de diciembre, el 20 de julio y el 15 de agosto