Un malware generalmente acabas desinstalándolo mediante un antivirus o encontrando directamente los archivos de forma manual. En el peor de los casos borras todo el PC o teléfono restaurándolo de fábrica para asegurarte de que se ha eliminado todo. O no, porque hay algunos malwares que parecen persistir e instalarse solos de nuevo incluso al restaurar todo el dispositivo. Es lo que está ocurriendo con el troyano xHelper en los móviles Android y los expertos en seguridad aún no saben cómo lo consigue.
Según una investigación de Malwarebytes, un virus llamado xHelper que fue descubierto ya el año pasado, está consiguiendo no morir en los dispositivos a los que infecta incluso cuando se resetean de fábrica. Se trata de un malware relativamente pequeño, según los analistas tan sólo lo han detectado en alrededor de 33.000 dispositivos y principalmente en Estados Unidos. Su propósito es servir como troyano para ejecutar desde fuera comandos en remoto en el dispositivo y así instalar por ejemplo aplicaciones no autorizadas. Los permisos que un malware obtiene en un teléfono pueden ser de lo más variados.
Pero a pesar de lo poco que se ha propagado (o que sabemos que se ha propagado), es sin duda un malware a tener en cuenta por su capacidad de resistir a ser eliminado. Básicamente cada vez que el usuario elimina el malware este aparece de nuevo una hora más tarde en el mismo directorio del sistema de archivos. De hecho, ni tras borrar todo el teléfono y restaurarlo de cero es posible librarse del troyano.
El virus para smartphones más resistente que se conoce
Así lo han calificado los investigadores, como el malware más resistente que han visto en un móvil. Descubrieron que la fuente de las reinfecciones eran una serie de carpetas que al encender el móvil instalaban la APK de xHelper. Se eliminan estas carpetas y se evita que vuelvan a instalar xHelper, ¿no? No. Para sorpresa de los investigadores, las carpetas no se eliminaban ni de forma manual ni tras borrar todo el teléfono Android.
Archivos que contienen el malware xHelper. Vía Malwarebytes.
Dicen desde Malwarebytes que aún no han sido capaces de saber cómo exactamente xHelper se mantiene en el teléfono tras borrar todo el sistema. Al principio creían que daba a entender al teléfono que estaban dentro de una microSD para que el teléfono no borrase los archivos, pero descartaron esta idea ya que también ocurría en teléfonos sin microSD. Lo único que saben a ciencia cierta de momento es que de alguna forma el malware persiste gracias a Google Play.
La solución temporal que han encontrado es desactivar la app Google Play Store de los ajustes del sistema y posteriormente eliminar las carpetas de xHelper de forma manual desde el sistema de archivos. La mayoría de los virus basados para Android acompañan a una app que ha sido instalada por el usuario y así entran en el teléfono. Pero Malwarebytes ha encontrado que de alguna manera el troyano xHelper se está implementando desde la propio Play Store.
Android utiliza algunas carpetas permanentes en el sistema que no son eliminadas al reinstalar el sistema operativo. Estas carpetas contienen archivos para ejecutar las funciones básicas del teléfono. En principio nadie debería tener acceso a estas carpetas más allá de Google y Android en sí, pero parece ser que pueden ser manipuladas.
Vía | Malwarebytes
Ver 17 comentarios
17 comentarios
aar21
Privilegios de la NSA al código fuente, puertas traseras, Google Play, etc.
HAXNAGE
Tuve un virus así en un cel que me dieron para corregir un problema de ADS automáticas y bastante molestas. Resetear a fábrica no funcionó, tuve que flashear el SO android con la rom stock en este caso para eliminar el virus.
Usuario desactivado
Sera que infecta el archivo donde esta la imagen del SO?
Land-of-Mordor
Pues puede que el virus se "incruste" en el cargador de arranque usando cualquiera de las maneras que hay para saltarse la protección y así instalar un cargador de arranque modificado.
diego09310
la RAE desaconseja el uso de la tilde en solo, pero es que vosotros la habéis puesto en el "solo" que no es xD (sólo llevaba tilde cuando se podía sustituir por solamente)
martincoronado
sigan descargando aplicaciones fuera de la tienda oficial. todos esos virus son causas de error de capa 8