Las amenazas que asaltan nuestros terminales suelen tener un recorrido limitado ya que, en el momento que son detectadas, los programas antivirus de protección los eliminan sin problemas. Incluso en los casos más peligrosos que no desaparecen del sistema con antivirus, terminan por rendirse tras un borrado completo del teléfono. Lo que se conoce como un hard reset.

Este es, siempre, el último recurso antes de verificar que una amenaza se ha extendido tanto por nuestro móvil que lo mejor es recurrir a esta medida desesperada. ¿Pero qué ocurre cuando ni siquiera devolviendo el dispositivo a su estado de fábrica conseguimos acabar con ella? Es el caso de xHelper, un virus que en los últimos tiempos ha traído de cabeza a toda la comunidad de investigadores y expertos en seguridad de Android.

Una amenaza completamente indestructible

xHelper es una amenaza que golpea esencialmente el panorama del OS de Google y que los expertos han llegado a calificar como de indestructible porque ni siquiera el borrado completo del teléfono lo libera de su presencia. O mejor dicho, sí lo hace, pero tiene la capacidad de reinfectar el hardware si no tomamos una serie de medidas que algunos investigadores han llegado a calificar como de "inusuales".

Ahora parece que ese misterio comienza a resolverse, no tanto el de cómo acabar con él, sino de cuál es el origen de esa inmortalidad, de que sea imposible eliminarlo, lo que va ayudar a encontrar un remedio contra él. Y lo que ocurre es que el troyano, cuando infecta el teléfono, una de las tareas que lleva a cabo es la de crear una puerta atrás por si el usuario decide llevar a cabo uno de esos hard reset, aprovechando un agujero de seguridad en el sistema que parece que nadie ha podido tapar hasta ahora.

Seguridad en Android. | Photo by Mark Boss on Unsplash

Ahora bien, aunque el virus trabaje de una manera poco convencional, ¿cómo es posible que sea capaz de volver a infectar un dispositivo cuando no hay rastro de él en el sistema? La respuesta la encontró un investigador, Nathan Collier, de Malwarebytes, que se topó con el origen de las reinfecciones gracias a un archivo indetectable que se ubica en una carpeta oculta y que no se puede eliminar a través de procedimientos normales.

Esto se debe a que los piratas no solo esconden esos archivos de los ojos de los programas antivirus, sino que además les otorgan privilegios de superusuario que no pueden ser eliminados fácilmente, ni siquiera por otro superusuario que encuentre el archivo. Además, y aquí está la clave, el troyano prepara el teléfono para un probable hard reset dejando un hueco por el que colarse para seguir presente cuando se reinicie del todo.

El propio Collier afirmó en su informe que "Es muy fácil infectarse con xHelper [...] Los dispositivos que son atacados por este malware podrían carecer de medidas de seguridad del sistema operativo, y permanecer vulnerables para rootear e instalar este tipo de malware. Además, es muy difícil para los usuarios eliminar esta amenaza una vez que está instalada. Esto significa que la base de usuarios de xHelper puede crecer rápidamente y mantenerse activa en los dispositivos atacados durante mucho tiempo". ¿La buena noticia? Que solo afecta a los modelos más antiguos y que los actuales ya cuentan con un buen blindaje.