Los investigadores de Symantec han descubierto un nuevo malware que se esconde en los dispositivos infectados y es capaz de reinstalarse incluso después de que los usuarios lo eliminen o restablezcan sus dispositivos de fábrica. En los últimos seis meses, el malware denominado Xhelper ya ha infectado más de 45,000 dispositivos Android, con las tasas más altas de infecciones detectadas en India, EE. UU. Y Rusia, y continúa propagándose al infectar al menos 2,400 dispositivos en promedio cada mes .
Las primeras variantes de xHelper se observaron en marzo de este año, cuando el código del malware era relativamente simple. Desde entonces, el código recibió algunas funcionalidades adicionales, incluidas las capacidades antidetección, lo que sugiere que el código fuente del malware aún se está desarrollando.
El malware entregado en forma de una aplicación maliciosa de Android que puede ocultarse de los usuarios, descargar aplicaciones maliciosas adicionales y mostrar anuncios. Xhelper es un componente de aplicación y no proporciona una interfaz de usuario normal. No se muestra en el iniciador de aplicaciones del dispositivo que hace que sea más fácil permanecer oculto a los usuarios, explicaron los investigadores .
Si bien el equipo de investigación de Symantec no ha podido identificar el vector de infección utilizado por el actor de la amenaza detrás de xHelper, los expertos creen que el malware es descargado por una aplicación de sistema malicioso que viene preinstalada en ciertas marcas de teléfonos inteligentes.
"Ninguna de las muestras que analizamos estaba disponible en Google Play Store, y aunque es posible que el malware Xhelper sea descargado por usuarios de fuentes desconocidas, creemos que puede no ser el único canal de distribución. Desde nuestra telemetría, Hemos visto que estas aplicaciones se instalan con más frecuencia en ciertas marcas de teléfonos, lo que nos lleva a creer que los atacantes pueden centrarse en marcas específicas ", escribieron los investigadores.
Una vez instalado en el dispositivo víctima, Xhelper descifra en memoria la carga maliciosa incorporada en su paquete esa carga útil luego se conecta al servidor de comando y control (C&C) del atacante y espera los comandos. Para asegurar un canal de comunicación, se utiliza una técnica conocida como fijación de certificados SSL.
Para iniciarse, el malware se basa en algunos eventos externos provocados por los usuarios, como conectar o desconectar un dispositivo comprometido de una fuente de alimentación, instalar o desinstalar aplicaciones o reiniciar un dispositivo.
Una vez lanzado, el malware se conecta al servidor de C&C y descarga cargas útiles adicionales, como cuentagotas, clickers y rootkits.
"Creemos que el conjunto de malware almacenado en el servidor de C&C es muy amplio y variado en funcionalidad, brindando al atacante múltiples opciones, incluido el robo de datos o incluso la toma completa del dispositivo", dijo Symantec.
