Saltar al contenido

Xhelper, un dropper de Android persistente infecta 45000 dispositivos

XHelper

Este malware se oculta a sí mismo, descargando a su vez otras amenazas (malware), además de mostrar anuncios en el terminal. Su expansión es rápida en EEUU, Rusia e India.

La firma de antivirus Symantec ha descubierto una oleada de detecciones para esta amenaza, que llega a través de una app infectada. Lo peor son sus capacidades técnicas, como comprobarás a continuación.

De hecho, una vez llega es muy complicado deshacerse de ella y es por eso que internet se ha llenado de solicitudes de ayuda para este problema. Los desinstalas y….vuelve a descargarse. Además, cada cierto tiempo pueden aparecer en pantalla anuncios emergentes.

Reddit

XHelper, dropper que afecta a Android, con persistencia

Este malware fue visto por primera vez en Marzo de 2019, hace 1 año. Entonces se veía como un dropper algo simplón por capacidades. Su principal función era lanzar anuncios (ads) al usuario para conseguir dinero para su creador.

Al principio, el servidor de control estaba escrito directamente sobre el código del programa, pero luego se cifró este dato, para evitar detección por firmas. Este malware parece un trabajo en curso aún a día de hoy, aunque se han expandido sus capacidades enormemente.

Algunas clases del código fuente no eran utilizadas (como la de “Jio”, que afectaría a clientes del operador móvil de India) pero a día de hoy están todas en uso.

Los vectores de infección no están claras aún. No está listado como tal en la Play Store de Google. Podría ser instalada desde orígenes desconocidos, pero se cree que no es el único vector.

Muchos usuarios se quejan amargamente de este problema. Symantec ha contabilizado 45000 dispositivos impactados por el malware. Unos 2400 dispositivos continuamente infectados durante el mes, sobre todo en Rusia, India y EEUU.

No está claro si pueden proceder de un ataque a la cadena de suministro, pero no tienen rastros de app de sistema, con lo que se descarta que vengan preinstalados de fábrica.

Análisis técnico del malware

Lo primero que llama la atención sobre Xhelper es que no estamos ante una aplicación al uso. No es reconocible a nivel de interfaz de usuario, sino que es un componente de aplicación.

Al no ser listada en el sistema, es más sencillo para el malware funcionar sin ser detectado. Al mismo tiempo, esto impide que podamos abrir la app manualmente. Entonces ¿cómo funciona?

1. Código empleado para eliminar la app del lanzador de aplicaciones en Android

La app comienza a operar invocada desde eventos externos, como cuando el dispositivo se conecta o desconecta de una fuente de alimentación ininterrumpida, o bien cuando se desinstala la app o se reinicia el terminal.

2. Eventos que activarán el malware

Una vez iniciado, el malware se registrará a sí mismo como un servicio en segundo plano, disminuyendo así las opciones de ser detenido cuando el aparato tenga poca memoria. Y para garantizar su persistencia, es capaz de reiniciarse cuando el servicio es detenido por otro evento ajeno a él, como una orden del propio usuario.

3. Se registra como un servicio en segundo plano y se reinicia a la fuerza

Para prevenir que se intercepte su comunicación con el servidor de control remoto, se emplea certificate pinning SSL que protege el diálogo.

Cuando ya tiene los pies en nuestro aparato Android, comenzará el ritual:

  • Descomprimirá el payload cifrado de su memoria, incrustado en su paquete de aplicación
  • El payload (carga útil) contiene un proceso que se conectará entonces al servidor remoto de gestión (C&C) a la espera de comandos.
4. Certificate pinning
  • Cuando se conecte al C2, recuperará del mismo otros payloads como droppers, clickers y rootkits (kits de persistencia).

Se estima que el almacén remoto de malware contiene herramientas muy variadas que le otorgan gran versatilidad. Por ejemplo, para robar datos del dispositivo o incluso tomar el control por completo de forma remota.

5. Solicitud POST realizada por Xhelper para obtener la configuración y descargar payload. El C2 marcado en rojo.

IOCs y Mitigación

Para mitigar esta infección o protegernos de ella, conviene:

  • Instalar un antivirus para Android fiable
  • Mantener el software de sistema al día
  • No instalar desde orígenes desconocidos
  • Prestar atención a los permisos requeridos por las apps que instalamos
  • Realizar copias de seguridad de nuestros datos del terminal, por si algo sale mal

IOCs disponibles en:

https://content.connect.symantec.com/sites/default/files/2019-10/Xhelper_IOCs_0.txt

Symantec y Norton mobile detectan esta amenaza como Android.Malapp.

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: