Decode xHelper: una especie de código malicioso inmortal de Android, aún "vivo" después del restablecimiento de fábrica

Investigadores de Kaspersky Labs descubrieron recientemente el trabajo extremadamente complejo de xHelper, un nuevo malware que ataca dispositivos Android que pueden sobrevivir incluso después de un restablecimiento de fábrica. Vuelva a la configuración original.

En general, xHelper o sus variantes se instalarán en la partición del sistema del teléfono Android después de obtener privilegios de root.Incluso el código malicioso puede obligar al sistema a cambiar para eliminar este malware del teléfono más difícil.

El problema es que la partición del sistema normalmente no permite sobrescribir. Por lo general, la partición del sistema solo proporciona permiso de lectura a los usuarios, por lo que eliminar aplicaciones que contienen malware no es un problema. Más preocupante aún, este malware también recibe archivos de datos que ha guardado en la partición del sistema para resoluciones más altas, incluso la raíz de la máquina no es fácil de resolver.

Los creadores de xHelper también dotan a este código malicioso de una característica sumamente extraña que permite cambiar la biblioteca del sistema libc del propio sistema operativo Android, deshabilitando la conversión de la partición del sistema de modo de solo lectura a modo de escritura, incluso desinstalar aplicaciones raíz automáticamente. .

Para eliminar xHelper, los usuarios deberán restaurar el dispositivo, actualizar el dispositivo con la instalación original o reemplazar el componente del sistema en el dispositivo.

Sin embargo, este malware descargó un rootkit para secuestrar la máquina. Y este rootkit infecta principalmente versiones anteriores de Android como 6 y 7, una especie de "teléfonos inteligentes falsos" chinos. Los investigadores de seguridad han encontrado malware en el teléfono original, por lo que “¡tienen que vivir con los usuarios de xHelper para encontrar una ROM de mejor reputación o comprar un teléfono nuevo!