Descubren un troyano en Android que no puede ser eliminado

Android no ha parado de mejorar su seguridad con cada versión que han ido lanzando. Los parches de seguridad mensuales han ayudado a ir paliando los fallos que van descubriéndose. Sin embargo, muchos móviles pierden rápido el soporte después de llevar unos dos años en el mercado, y mucha gente sigue usándolos a pesar de exponerse a ser infectados por malware como el troyano Android.Xiny que no puede eliminarse.

Esta rama de troyanos es conocida desde 2015, donde se introducían en el sistema, y a pesar de borrar sus archivos, el apk seguía intacto y la aplicación volvía a aparecer al reiniciarse el móvil. Este malware sigue afectando a las versiones de Android hasta la 5.1, lanzada también en el año 2015.

Y es que, a pesar de tener ya 4 años y medio a sus espaldas, más del 25% de los usuarios de Android tienen 5.1 o anterior según los últimos datos publicados por Google en mayo de 2019, donde el 14,5% tienen 5.1, y el 6,9% Android 4.4. Sin embargo, datos de Pornhub de diciembre muestran que esa cifra sería algo menor, con sólo el 7% de móviles usando 5.1 o anterior.

Android.Xiny.5261: el troyano que no puedes borrar en Android

Esta utilización de versiones que ya no tienen soporte son aprovechadas por los hackers para crear malware que saben que van a poder usar aprovechando vulnerabilidades que no van a ser parcheadas nunca. En el caso de la variante del troyano Android.Xiny.5261, que obtiene permisos root en el móvil infectado para instalar aplicaciones sin permiso del usuario. Los creadores de esas apps pagan a los creadores del malware, monetizando así las infecciones.

De hecho, no sólo aloja sus archivos en el sistema para ejecutarse siempre cuando se inicie el móvil, sino que para ganar persistencia elimina las apps de SuperSU y similares para que el usuario no pueda gestionar los permisos de root que se ha autoconcedido el malware, por lo que no puede eliminarlo.

También impide que otras apps o troyanos se instalen en el sistema

Además, también se realizan modificaciones en la biblioteca libc.so, de manera que las aplicaciones no pueden volver a instalarse. De hecho, no pueden ni siquiera instalarse otros troyanos. La “suerte” de este troyano es que, aunque instala aplicaciones y puede llegar a dejar inutilizable el móvil de tantas que abra, no cifra los datos de la memoria como haría un ransomware, o no intenta robar nuestros datos personales en el proceso.

La única manera de poder eliminar este troyano es realizar un factory reset del móvil, o en su defecto instalar una ROM nueva que borre toda la instalación anterior. Podemos instalar un recovery modificado para hacerlo sin llegar al entorno del sistema en el que se ejecuta la aplicación, pero para ello necesitamos un ordenador. Al hacer esto, se borrará toda la información del móvil, por lo que es importante tener copias de seguridad de diversos elementos del terminal, como los contactos o las fotos.

Fuente: Dr. Web | adslzone