Investigadores de seguridad descubren por fin cómo funciona un malware de Android imposible de eliminar
Durante años, el consejo más repetido en el campo de la seguridad informática móvil ha sido claro, si un dispositivo Android se ve comprometido por malware, la solución más eficaz es restaurarlo a los ajustes de fábrica.
Este proceso, en teoría, borra cualquier rastro de código malicioso. Sin embargo, un reciente hallazgo ha desafiado esta premisa. Investigadores especializados en ciberseguridad han descubierto una cepa de malware para Android que es capaz de resistir incluso los restablecimientos de fábrica más profundos.
Aunque el misterio de su persistencia ha desconcertado a los expertos durante meses, hoy se comprende con claridad el mecanismo detrás de este sofisticado ataque, y su diseño no solo es alarmante, también es extraordinariamente ingenioso.
La amenaza en cuestión responde al nombre de “xHelper”, un malware que irrumpió en el ecosistema Android a comienzos de este año, afectando principalmente a usuarios en Rusia. A diferencia de otros virus que logran infiltrarse por medio de tiendas oficiales, xHelper nunca ha estado disponible en Google Play.
Esto se debe a que los algoritmos de seguridad de Google detectan su comportamiento anómalo y lo marcan de inmediato como una amenaza. Esta evasión de los canales oficiales obliga al malware a propagarse a través de fuentes externas, en especial, mediante la descarga manual de archivos APK desde sitios web de dudosa reputación.
Una vez que este malware logra instalarse en un dispositivo, su primera acción consiste en intentar obtener privilegios de superusuario, es decir acceso root. Si tiene éxito, consigue el control total sobre el sistema operativo, lo cual permite reescribir componentes críticos del software del sistema, crear puertas traseras e instalar silenciosamente otras apps maliciosas sin el conocimiento del usuario.
Lo más preocupante es su capacidad para sobrevivir a procedimientos que deberían eliminarlo por completo. Además, la empresa especializada Malwarebytes confirmó en el mes de febrero que xHelper es capaz de persistir incluso después de un restablecimiento de fábrica. Este mecanismo es tan sigiloso que ha burlado las herramientas convencionales de análisis durante un tiempo considerable.
TIC Defense tiene a disposición de tu empresa un conjunto de herramientas y servicios enfocados en la prevención y respuesta rápida a todo tipo de eventos, incluso aquellos que son considerados como sospechosos. Si quieres tener las defensas informáticas de tu organización a tope, no olvides contactarnos.
La clave de su resiliencia radica en un archivo oculto, alojado en una carpeta del sistema que no es visible ni accesible mediante métodos tradicionales. Cada vez que el dispositivo es restaurado, ese archivo oculto se reactiva y reinstala el malware, atrapando al usuario en un ciclo aparentemente interminable de infección.
Lo más revelador es que este malware no actúa solo. Investigaciones recientes demostraron que su capacidad de reinfección permanente está respaldada por otro actor igual de peligroso, un troyano conocido como “Triada”. Este se descarga automáticamente una vez que xHelper ha establecido una base mínima en el sistema. Además, tiene como función principal modificar la partición del sistema, inyectando los componentes que permiten al malware regenerarse después de cada reinicio del mismo.
Frente a esta amenaza tan completa, cabe preguntarse: ¿existe una solución definitiva? La respuesta es que sí, aunque se requiere ciertos conocimientos técnicos. Si los usuarios logran acceder al modo recuperación, es posible desmontar el sistema, reemplazar manualmente las bibliotecas comprometidas y eliminar las carpetas contaminadas.
