xHelper también puede sobrevivir al restablecimiento de fábrica

En los últimos días se ha descubierto que un troyano de malware grave ha infectado a Android y que, por su naturaleza, es muy difícil de eliminar del teléfono infectado. El troyano xHelper es un malware antiguo, pero muy persistente. Se afirma que existe en el teléfono, incluso después de restablecerlo a su configuración original. Y lo que es más intrigante, ¡esta naturaleza repetitiva es impulsada por Google Play indirectamente!

Difícil. Desagradable. Desconocido

«Esta es, con mucho, la infección más desagradable que he encontrado como investigador de malware móvil», dijo Nathan Collier’s Malwarebytes en el troyano xHelper. El equipo ya hizo un informe sobre esto en el verano del año pasado. Y cuando lo encontraron muerto, revivió y se volvió muy difícil de sacar después de haber sido infectado.

Reportado por primera vez por Amelia a Malwarebytes, xHelper tiene tres variantes por describir. El que se está volviendo un dolor de cabeza es el más difícil. Las otras variantes simplemente se eliminan mediante la aplicación Malwarebytes para Android.

Malware peligroso para Android: xHelper también puede sobrevivir al restablecimiento de fábrica
xHelper también puede sobrevivir al restablecimiento de fábrica (imagen a través de Piqsels)

El equipo, en asociación con Amelia, probó varios métodos para eliminar el malware. También se intentó el paso extremo que cualquiera podía tomar: restablecer el dispositivo a su configuración original, pero no ayudó a eliminar el malware. Después de todo, borraron el caché del navegador y los datos pensando que era un troyano del navegador e incluso intentaron desinstalar aplicaciones del sistema con amplios derechos de administrador, pero continuaron reinstalando.

¿El culpable de Google Play?

Se volvió tan irritante y misterioso que el equipo finalmente descubrió que el motivo de la reinstalación persistente se debía a: ¡Google Play! Otra investigación muestra que activar Google Play no fue intencional, sino un problema interno. Desde entonces, se ha utilizado como cortina de humo. Además, es posible encontrar archivos maliciosos que se cargan en la carpeta com.mufc.

xHelper también puede sobrevivir al restablecimiento de fábrica
Créditos de imagen – Blog de MalwareBytes

Los archivos o directorios maliciosos de los mismos se pueden encontrar en el administrador de archivos, que almacena la clave del troyano. Android / Trojan.Dropper.xHelper.VRW en este tema. Y este APK se encargó de instalar más malware en segundos. Y se desconoce cómo está evitando la detección de Play Protect. Y mientras Google Play esté activo, puede revivir.

Malwarebytes finalmente dio una solución a esto, como eliminar manualmente el sospechoso com.mufc archivos / directorios encantadores para evitar el malware. Pero, primero debe deshabilitar Google Play para evitar que se reinstale y puede habilitarlos todos una vez detallados.

Fuente – MalwareBytes