Hace unos meses, se descubrió un virus de Android℗ tan sofisticado que puede sobrevivir a un reset de fábrica, algo que hace que sea perfectamente inalcanzable de eliminar para un usuario normal.
Este virus estaba camuflado en una app llamada xHelper que aparentemente mejoraba el desempeño del celular al eliminar ficheros antiguos e innecesarios. El proveedor de virus Kapersky Lab lo ha detectado en más de 50.000 dispositivos, pero no hay pruebas de que xHelper se haya distribuido a través de Google℗ Play.
Una vez instalado, xHelper instala una puerta trasera que instala remotamente apps descargadas de un servidor controlado por el atacante. También ejecuta comandos como superusuario, un permiso que le da al virus derechos de sistema ilimitados. Además de eso, la puerta trasera tiene acceso a datos(info) sensibles, incorporando las cookies del navegador utilizadas para comenzar sesión en los sitios de manera automática.
Una vez que se instala la puerta trasera, la app de limpieza falsa desaparece de la pantalla esencial y del menú de programas y sólo se puede visualizar inspeccionando la lista de apps instaladas en la configuración del sistema.
Lo más importante de este virus es que, a pesar de hacer un reseteo de fábrica del dispositivo, el virus vuelve a infectar el dispositivo. Durante meses, los indagadores no han sabido cómo podía suceder esto.
Un virus perfectamente inalcanzable de eliminar
Lo que se sabía sobre este virus es que su persistencia se debía a la presencia de carpetas imposibles de eliminar por medios normales que contienen un instalador de virus y que no se eliminan mediante un reseteo de fábrica. Por tanto, con cada reseteo de fábrica se vuelve a instalar el virus en el teléfono.
Durante mucho tiempo, los indagadores no podían aclarar cómo había podido llegar esa carpeta a los smartphones infectados. Se descartó la eventualidad de que la carpeta y el archivo vinieran preinstalados en el dispositivo.
La semana pasada, el indagador de Kaspersky Lab, Igor Golovin, publicó un producto en el que aportaba una explicación. Las reinfecciones eran el resultado de archivos descargados e instalados por un troyano conocido como Triada, que se ejecuta una vez que la app xHelper es instalada.
Triada hace root de los aparatos y luego usa sus elevados permisos de sistema para instalar una serie de archivos maliciosos directamente en la partición del sistema. Lo hace volviendo a montar la partición del sistema en manera de escritura. Para que los archivos sean todavía más persistentes, Triada les da un atributo inmutable, que impide el borrado, inclusive por parte de los superusuarios.
Un archivo llamado install-recovery.sh hace llamadas a los archivos agregados a la carpeta /system/xbin. Esto permite que el virus se ejecute cada vez que se reinicia el dispositivo. El resultado es lo que Golovin describe como una infección «imposible de matar» que tiene un control extraordinario sobre un dispositivo.
Según Golovin, los aparatos que son atacados por este virus posiblemente carecen de los últimos parches de seguridad del sistema operativo y son vulnerables a ser infectados por este malware. Además, es muy complicado para los usuarios eliminar este virus una vez instalado. Esto significa que la base de usuarios de xHelper puede crecer rápidamente y puede permanecer activo en los aparatos atacados durante mucho tiempo.
Los usuarios más avanzados pueden desinfectar los aparatos empleando el manera Recovery, cuando esté disponible, para sustituir el archivo libc.so infectado por el legítimo añadido en el firmware original. Los usuarios pueden entonces eliminar el virus de la partición del sistema o, más fácil, relashear el dispositivo.