Millones de celulares Android vienen infectados por un malware de fábrica
Crédito: @Moto.
Unos delincuentes han infectado millones de celulares Android en todo el mundo con malware (o software malicioso) antes incluso de que los dispositivos salieran de fábrica, según los investigadores de Trend Micro en la conferencia Black Hat Asia.
Se trata principalmente de dispositivos móviles Android baratos, aunque también se han visto afectados smartwatches, televisores y otros aparatos.
La fabricación de estos aparatos se subcontrata a un fabricante de equipos originales (OEM). Según los investigadores, esta subcontratación hace posible que alguien en el proceso de fabricación -por ejemplo, un proveedor de firmware- infecte los productos con código malicioso a medida que salen de fábrica.
Trend Micro caracterizó la amenaza hoy como “un problema creciente para los usuarios regulares y las empresas.” Así que considera esto un recordatorio y un aviso, todo en uno. “¿Cuál es la forma más fácil de infectar millones de dispositivos?”, planteó el investigador sénior de Trend Micro Fyodor Yarochkin, hablando junto a su colega Zhengyu Dong en la conferencia celebrada en Singapur.
Yarochkin comparó la infiltración en los dispositivos en una fase tan temprana de su ciclo vital con la absorción de líquido por un árbol: se introduce la infección en la raíz y se distribuye por todas partes, por todas las ramas y hojas.
"These plugins are capable of stealing sensitive information from the device, steal SMS messages, take control of social media accounts, use the devices for ad and click fraud, abuse the traffic(opens in new tab), the list goes on." https://t.co/jWvgb8CmRj
— Adam Levin (@Adam_K_Levin) May 15, 2023
Espionaje para conseguir más beneficios
Esta inserción de malware comenzó cuando bajó el precio del firmware (software incorporado en el hardware de un dispositivo para controlar su funcionamiento básico) de los teléfonos móviles, según revelan los autores de la investigación. La competencia entre los distribuidores de firmware se hizo tan fuerte que al final los proveedores no podían cobrar dinero por su producto.
“Pero, por supuesto, no hay nada gratis”, afirma Yarochkin, que explica que, como consecuencia de esta situación tan despiadada, el firmware empezó a venir con una característica indeseable: los plugins silenciosos. El equipo analizó docenas de imágenes de firmware en busca de software malicioso. Encontraron más de 80 plugins diferentes, aunque muchos de ellos no estaban muy extendidos.
El objetivo del malware es robar información o ganar dinero con la información recopilada o entregada. Los datos que se extraían alimentan un modelo de negocio construido a su alrededor y se vendían en la clandestinidad para comercializarse abiertamente en lugares como Facebook, blogs o YouTube.
El malware convierte los dispositivos en proxies que se utilizan para robar y vender mensajes SMS, hacerse con el control de redes sociales y cuentas de mensajería en línea, y se utilizan como oportunidades de monetización a través de anuncios y fraude de clics.
Millions of mobile phones come pre-infected with malware, say researchers https://t.co/kBum7Xywvj
— The Register (@TheRegister) May 11, 2023
‘Secuestrando’ el teléfono
Según la investigación, el malware permite al delincuente hacerse con el control del dispositivo durante un máximo de unos cinco minutos cada vez. Ese tiempo es suficiente para adquirir datos sobre pulsaciones de teclas, ubicación geográfica, dirección IP y más.
“El usuario del proxy podrá utilizar el teléfono de otra persona durante un periodo de 1.200 segundos como nodo de salida”, explica Yarochkin. También dijo que el equipo encontró un plugin de cookies de Facebook que se utilizaba para recopilar actividad de la aplicación de Facebook.
A través de los datos de telemetría, los investigadores estimaron que existen al menos millones de dispositivos infectados en todo el mundo, pero están centralizados en el Sudeste Asiático y Europa del Este. Según los investigadores, una estadística comunicada por los propios delincuentes rondaba los 8,9 millones.
En cuanto a la procedencia de las amenazas, el dúo no quiso especificarlo, aunque la palabra “China” apareció varias veces en la presentación, incluso en una historia de origen relacionada con el desarrollo del firmware sospechoso. Yarochkin dijo que el público debería tener en cuenta dónde se encuentran la mayoría de los fabricantes de equipos originales del mundo y hacer sus propias deducciones.
“Aunque posiblemente conozcamos a las personas que construyen la infraestructura de este negocio, es difícil determinar con exactitud cómo se introduce esta infección en el teléfono móvil, porque no sabemos con seguridad en qué momento entró en la cadena de suministro”, afirmó Yarochkin.
We detected and blocked over 4.2M #malware files in 2022. This is a staggering 29% increase from 2021.
Find out more about our detection here: https://t.co/k6hubGFRtU pic.twitter.com/QQzHkIwJSS
— Trend Micro (@TrendMicro) May 18, 2023
¿Cómo protegerse de este malware?
El equipo confirmó que el malware se encontró en los teléfonos de al menos 10 proveedores, pero que posiblemente había unos 40 más afectados.
Quienes deseen evitar los móviles infectados pueden protegerse en cierta medida adquiriendo un teléfono de gama alta. Es decir, este tipo de firmware defectuoso se encuentra en la gama más barata del ecosistema Android, y ceñirse a las grandes marcas es una buena idea, aunque no necesariamente una garantía de seguridad.
“Las grandes marcas, como Samsung o Google, cuidan relativamente bien la seguridad de su cadena de suministro, pero para los actores de amenazas sigue siendo un mercado muy lucrativo”, afirma Yarochkin.
Fuente: Yahoo
