Cómo eliminar las reinfecciones de xHelper
Primero nos topamos con el desagradable troyano Android xHelper, un cuentagotas de malware sigiloso
En el sitio de ayuda de Malwarebytes un usuario comento:'
“Tengo un teléfono que está infectado con el virus xhelper. Este dolor tenaz sigue volviendo ".
"Estoy bastante inclinado a la técnica, así que me siento cómodo con el aviso común o cualquier otra cosa que deba hacer para que esto desaparezca y que el teléfono sea realmente utilizable".
- usuario del foro misspaperwait, Amelia
De hecho, ella estaba infectada con xHelper. Además, Malwarebytes para Android ya había eliminado con éxito dos variantes de xHelper y un agente troyano de su dispositivo móvil. El problema era que seguía volviendo una hora después de la eliminación. xHelper estaba reinfectando una y otra vez.
Si no fuera por la experiencia y la persistencia de la patrocinadora del foro Amelia, no podríamos haber descubierto esto. Ella amablemente nos ha permitido compartir su viaje.
Todos los fracasos
Antes de compartir al culpable detrás de esta reinfección de xHelper, me gustaría resaltar las tácticas que usamos para investigar la situación, incluidos los muchos callejones sin salida antes de descubrir el juego final. Al mostrar los obstáculos que encontramos, demostramos el proceso de pensamiento y la complejidad detrás de la eliminación de malware para que otros puedan usarlo como guía.
En primer lugar, Amelia fue lo suficientemente inteligente como para hacer un restablecimiento de fábrica antes de comunicarse con nosotros. Desafortunadamente, no resolvió el problema, aunque nos dio una pizarra limpia para trabajar. No se instalaron otras aplicaciones (además de las que venían con los teléfonos) además de Malwarebytes para Android, por lo tanto, podríamos descartar una infección por instalaciones previas (o eso pensamos).
También descartamos que el malware tenga derechos de administrador de dispositivo, lo que habría impedido nuestra capacidad de desinstalar aplicaciones maliciosas. Además, borramos todo el historial y la memoria caché en los navegadores de Amelia, en caso de una amenaza basada en el navegador, como una descarga automática, que causa la reinfección.
Como teníamos un dispositivo móvil limpio y todavía se estaba reinfectando, nuestra primera suposición fue que el problema era el malware preinstalado . Esta suposición fue impulsada por el hecho de que el dispositivo móvil era de un fabricante menos conocido , que a menudo es el caso del malware preinstalado. Entonces, Amelia probó esta teoría siguiendo los pasos para ejecutar comandos Android Debug Bridge (adb) en su dispositivo móvil.
Con la línea de comando adb instalada y el dispositivo móvil conectado a una PC, utilizamos la solución alternativa para desinstalar aplicaciones del sistema para el usuario actual. Este método hace que las aplicaciones del sistema sean inútiles, aunque técnicamente todavía residen en el dispositivo.
Comenzando por lo más obvio, desinstalamos sistemáticamente las aplicaciones sospechosas del sistema, incluido el actualizador del sistema del dispositivo móvil y una aplicación de audio con hits en VirusTotal, un posible indicador de malicia. Amelia incluso pudo tomar varias aplicaciones que no teníamos en nuestro sistema de inteligencia móvil para descartar todo. Después de todo esto, la persistencia de xHelper no terminaría.
Luego notamos algo extraño: la fuente de instalación del malware declaró que provenía de Google PLAY. Esto era inusual porque ninguna de las aplicaciones maliciosas que se descargaban en el teléfono de Amelia estaba en Google PLAY. Como nos estábamos quedando sin ideas, deshabilitamos Google PLAY. Como resultado, las reinfecciones se detuvieron.
Hemos visto importantes aplicaciones del sistema preinstaladas infectadas con malware en el pasado. ¿Pero Google PLAY en sí mismo? Después de un análisis más detallado, determinamos que, no, Google PLAY no estaba infectado con malware. Sin embargo, algo dentro de Google PLAY estaba provocando la reinfección, tal vez algo que estaba almacenado. Además, ese algo también podría estar usando Google PLAY como una pantalla de humo, falsificándolo como la fuente de instalación de malware cuando, en realidad, provenía de otro lugar.
Con la esperanza de que nuestra teoría fuera cierta, le pedimos a Amelia que buscara archivos y / o directorios sospechosos en su dispositivo móvil utilizando un explorador de archivos con capacidad de búsqueda, es decir, cualquier cosa que comenzara con com.mufc., Los nombres de paquetes maliciosos de xHelper. Y luego ... ¡eureka!
El culpable
Oculto dentro de un directorio llamado com.mufc.umbtts había otro paquete de aplicaciones de Android (APK). El APK en cuestión era un cuentagotas de Troya que rápidamente llamamos Android / Trojan.Dropper.xHelper.VRW. Es responsable de eliminar una variante de xHelper, que posteriormente elimina más malware en segundos.
Aquí está la parte confusa: en ninguna parte del dispositivo parece que Trojan.Dropper.xHelper.VRW está instalado. Creemos que se instaló, ejecutó y desinstaló nuevamente en segundos para evadir la detección, todo por algo desencadenado por Google PLAY. El "cómo" detrás de esto todavía se desconoce.
Es importante darse cuenta de que, a diferencia de las aplicaciones, los directorios y los archivos permanecen en el dispositivo móvil Android incluso después de un restablecimiento de fábrica. Por lo tanto, hasta que se eliminen los directorios y los archivos, el dispositivo seguirá infectado.
Cómo eliminar las reinfecciones de xHelper
Si experimenta reinfecciones de xHelper, a continuación se explica cómo eliminarlo:
- Recomendamos encarecidamente instalar Malwarebytes para Android (gratis).
- Instale un administrador de archivos de Google PLAY que tenga la capacidad de buscar archivos y directorios.
- Amelia usó File Manager por ASTRO.
- Deshabilita Google PLAY temporalmente para detener la reinfección.
- Vaya a Configuración > Aplicaciones > Google Play Store
- Presione el botón Desactivar
- Ejecute un análisis en Malwarebytes para Android para eliminar xHelper y otro malware.
- La desinstalación manual puede ser difícil, pero los nombres a buscar en la información de aplicaciones son fireway , xhelper y Settings ( solo si se muestran dos aplicaciones de configuración).
- Abra el administrador de archivos y busque cualquier cosa en el almacenamiento que comience con com.mufc.
- Si se encuentra, tome nota de la última fecha de modificación.
- Consejo profesional: ordenar por fecha en el administrador de archivos
- En el Administrador de archivos de ASTRO, puede ordenar por fecha en Ver configuración
- Elimine cualquier cosa que comience con com.mufc. y cualquier cosa con la misma fecha (excepto directorios principales como Descargar ):
- Vuelva a habilitar Google PLAY
- Vaya a Configuración > Aplicaciones > Google Play Store
- Presione el botón Habilitar
- Si la infección aún persiste, comuníquese con nosotros a través del .
El malware móvil alcanza un nuevo nivel
Esta es, con mucho, la infección más desagradable que he encontrado como investigador de malware móvil. Por lo general, un restablecimiento de fábrica, que es la última opción, resuelve incluso la peor infección. No recuerdo el momento en que persistió una infección después de un restablecimiento de fábrica a menos que el dispositivo venga con malware preinstalado. Este hecho, sin darse cuenta, me envió por el camino equivocado. Afortunadamente, tuve la ayuda de Amelia, que fue tan persistente como xHelper para encontrar una respuesta y guiarnos a nuestra conclusión.
Esto, sin embargo, marca una nueva era en el malware móvil. La capacidad de reinfectar usando un directorio oculto que contiene un APK que puede evadir la detección es a la vez aterrador y frustrante. Continuaremos analizando este malware detrás de escena. Mientras tanto, esperamos que esto al menos termine el capítulo de esta variante particular de xHelper
Fuente:Malwarebytes