Seguramente Bruce Willis estaría orgulloso del nuevo malware xHelper, ya que es un verdadero Duro de Matar. Un troyano que por estos días tiene tomándose la cabeza a los investigadores, que no saben cómo hacer para deshacerse de él.
Resulta que se demostró que este virus tiene la propiedad de reinstalarse una hora después de ser eliminado y que tiene la capacidad de reinfectar archivos en el sistema operativo Android.
El laboratorio especializado en este tipo de troyanos, Malwarebytes lo clasifica de la siguiente forma:
- Nombre: Android / Trojan.Dropper.xHelper
- Síntomas: Los usuarios pueden notar un ícono en las notificaciones titulado «xhelper» y después de unos minutos el troyano comienza a agregar aún más íconos a las notificaciones. Otros usuarios pueden detectar la presencia de una simple entrada xhelper en la Información de aplicaciones.
- Tipo y fuente de infección: Android / Trojan.Dropper.xHelper suelta un archivo DEX cifrado con una extensión .jar en los dispositivos afectados. Es muy probable que Android / Trojan.Dropper.xHelper se propague por redireccionamientos web.
El 12 de febrero, en su blog oficial, la gente de Malwarebytes compartió la experiencia de un usuario, al que xHelper se le volvía a instalar, a pesar de reinstalar su dispositivo de fábrica.
Nathan Collier, investigadora de Malwarebytes hizo la siguiente descripción mientras trabajaba en este caso:
«Esta es, con mucho, la infección más desagradable que he encontrado como investigador de malware móvil. Por lo general, un restablecimiento de fábrica, que es la última opción, resuelve incluso la peor infección. No recuerdo el momento en que persistió una infección después de un restablecimiento de fábrica a menos que el dispositivo venga con malware preinstalado», manifestó.
Bueno, bingo. El troyano estaba oculto dentro de un directorio llamado com.mufc.umbtts, donde había un paquete de aplicación de Android, o APK, que dejó caer una variante xHelper.
Aunque el usuario borró los registros, debido a que el malware estaba identificando de alguna manera a Google Play como la fuente de la reinfección, este virus volvió a aparecer.
Lo que aún no está claro, es que si este xHelper llega como un malware de fábrica: ¿cómo se está propagando?.
Igual Malwarebytes hizo un paso a paso de cómo tratar de eliminar el troyano:
- Instale un administrador de archivos de Google PLAY que tenga la capacidad de buscar archivos y directorios.
- Deshabilita Google PLAY temporalmente para detener la reinfección.
- Vaya a Configuración > Aplicaciones > Google Play Store.
- Presione el botón Desactivar.
- Ejecute un análisis de antivirus para Android para eliminar xHelper y otro malware.
- La desinstalación manual puede ser difícil, pero los nombres a buscar en la información de aplicaciones son fireway , xhelper y Settings ( solo si se muestran dos aplicaciones de configuración).
- Abra el administrador de archivos y busque cualquier cosa en el almacenamiento que comience con com.mufc.
- Si se encuentra, tome nota de la última fecha de modificación.
- Consejo profesional: ordenar por fecha en el administrador de archivos.
- En el Administrador de archivos, puede ordenar por fecha en Ver configuración.
- Elimine cualquier cosa que comience con com.mufc. y cualquier cosa con la misma fecha (excepto directorios principales como Descargar )
- Vuelva a habilitar Google PLAY.
- Vaya a Configuración > Aplicaciones > Google Play Store.
- Presione el botón Habilitar.
