imágenes falsas
En general, los dispositivos Android se han ganado una reputación decididamente mixta en cuanto a seguridad. Si bien el propio sistema operativo y los píxeles de Google han resistido durante años las vulnerabilidades de software, el flujo interminable de aplicaciones maliciosas en Google Play y los dispositivos vulnerables de algunos fabricantes externos han empañado su imagen.
El jueves, esa imagen se vio empañada aún más después de que dos informes dijeran que varias líneas de dispo sitivos Android venían con malware preinstalado y no podían eliminarse sin que los usuarios tomaran medidas heroicas.
El primer informe vino de la firma de seguridad Trend Micro. Investigadores dando seguimiento a un presentación entregado en la conferencia de seguridad Black Hat en Singapur informó que tantos 8.9 millones de teléfonos y que comprenden hasta 50 marcas diferentes estaban infectados con malware. Primero documentado por investigadores de la firma de seguridad Sophos, Guerrilla, como llamaron al malware, se encontró en 15 aplicaciones maliciosas que Google permitió en su mercado Play.
Guerrilla abre una puerta trasera que hace que los dispositivos infectados se comuniquen regularmente con un servidor de comando y control remoto para verificar si hay nuevas actualizaciones maliciosas para instalar. Estas actualizaciones maliciosas recopilan datos sobre los usuarios que el actor de amenazas, que Trend Micro llama Lemon Group, puede vender a los anunciantes. Luego, Guerrilla instala subrepticiamente plataformas publicitarias agresivas que pueden agotar las reservas de batería y degradar la experiencia del usuario.
Los investigadores de Trend Micros escribieron:
Si bien identificamos una serie de negocios que Lemon Group realiza para empresas de big data, marketing y publicidad, el negocio principal implica la utilización de big data: análisis de cantidades masivas de datos y las características correspondientes de los envíos de los fabricantes, diferentes contenidos publicitarios obtenidos de diferentes usuarios en diferentes momentos, y los datos de hardware con empuje de software detallado. Esto le permite a Lemon Group monitorear a los clientes que pueden infectarse aún más con otras aplicaciones para desarrollar, como enfocarse en mostrar solo anuncios a usuarios de aplicaciones de ciertas regiones.
El país con la mayor concentración de teléfonos infectados fue Estados Unidos, seguido de México, Indonesia, Tailandia y Rusia.
Guerrilla es una plataforma masiva con casi una docena de complementos que pueden secuestrar las sesiones de WhatsApp de los usuarios para enviar mensajes no deseados, establecer un proxy inverso desde un teléfono infectado y utilizar los recursos de red del dispositivo móvil afectado e inyectar anuncios en aplicaciones legítimas.
Desafortunadamente, Trend Micro no identificó las marcas afectadas y los representantes de la empresa no respondieron a un correo electrónico en el que se les solicitaba.
El segundo informe fue publicado por Heaven32. Detalló varias líneas de cajas de TV basadas en Android vendidas a través de Amazon que están mezcladas con malware. Fabricadas por dos fabricantes con sede en China, AllWinner y RockChip, las cajas de TV informan a un servidor de comando y control que, al igual que los servidores Guerrilla, puede instalar cualquier aplicación que deseen los creadores de malware. El malware predeterminado preinstalado en las cajas se conoce como clickbot. Genera ingresos publicitarios tocando subrepticiamente los anuncios en segundo plano.
Informes citados de Heaven32 (aquí y aquí) de Daniel Milisic, un investigador que casualmente compró una de las cajas infectadas. Los hallazgos de Milisic fueron confirmado de forma independiente por Bill Budington, investigador de Electronic Frontier Foundation.
Desafortunadamente, los dispositivos Android que vienen con malware recién salido de fábrica no son nada nuevo. Ars ha informado sobre este tipo de incidentes al menos cinco veces en los últimos años (aquí, aquí, aquí, aquí y aquí). Todos los modelos afectados estaban en el nivel de presupuesto.
Las personas en el mercado de un teléfono Android deberían dirigirse hacia marcas conocidas como Samsung, Asus o OnePlus, que generalmente tienen controles de garantía de calidad mucho más confiables en su inventario. Hasta la fecha, nunca ha habido informes de dispositivos Android de gama alta que vengan con malware preinstalado. Del mismo modo, no hay tales informes para iPhones.