El equipo Prevención de amenazas móviles de Check Point ha detectado malware preinstalado en 36 modelos de teléfonos inteligentes con sistema Android, todos ellos pertenecientes a marcas muy conocidas. Se ha demostrado que el virus no ha sido descargado por los usuarios, sino que ya venia preinstalado de fabrica.
Las aplicaciones maliciosas detectadas en estos terminales no forman parte de la ROM oficial, sino que fueron instaladas en algún punto de la cadena de distribución de los mismos.
Y es que ha quedado demostrado que no son los fabricantes los que suministran el malware a través de aplicaciones o los firmware de ROM oficiales, sino que los culpables de esta distribución son personas que están trabajando en las cadenas de suministro de componentes, concretamente las empleadas por dos compañías que trabajan para los fabricantes principales (las grandes marcas que venden al público).
El primer malware preinstalado fue el troyano Loki, el cual se ejecuta en los procesos internos de Android para obtener privilegios de administrador (root). Además de esto, también incluye características de spyware, pudiendo ver la lista de aplicaciones actual, el historial de navegación, la lista de contactos, el historial de llamadas y los datos de localización.
Por otro lado, también se han dado infecciones por Slocker, menos frecuente, pero si se activa, este ransomware puede bloquear los dispositivos que utilizan un algoritmo de cifrado AES, y hablar en secreto a sus servidores C & C ubicados en server Tor, con el fin de ocultar la identidad del operador tras el malware. Sí, este comportamiento es igual al de muchos ransomware para Windows.
Seis de estos virus, fueron añadidos por un intermediario utilizando privilegios de sistema, esto significa que aunque pueden ser eliminados por el usuario final, esto puede llegar a ser un poco complejo para este, así que, si no eres un manitas tecnológico, te aconsejo que el móvil infectado sea devuelto para que sea restituido por un nuevo terminal no infectado.
Entre las marcas afectadas por este problema se han encontrado a Samsung, LG, Xiaomi, Asus, Oppo y Lenovo, pudiéndose destacar los siguientes modelos de teléfonos inteligentes entre los que están infectados por malware preinstalado: Galaxy Note 2, LG G4, Galaxy S7, Galaxy S4, Galaxy Note 4, Galaxy Note 5, Xiaomi Mi 4i, Galaxy A5, ZTE x500, Galaxy Note 3, Galaxy Note Edge, Galaxy Tab S2, Galaxy Tab 2, Oppo N3, Vivo X6 plus, Asus Zenfone 2, LenovoS90, OppoR7 plus Xiaomi Redmi o Lenovo A850.
El malware instalado actúa como una puerta trasera (Backdoor) que da acceso sin restricciones a su operador, pudiendo descargar, instalar y activar aplicaciones maliciosas de Android, borrar datos de usuario, desinstalar software de seguridad y desactivar el sistema de aplicaciones, pudiendo hasta llegar a marcar números de teléfono de alta tarificación.
Este incidente muestra los peligros que entrañan las cadenas de suministro no confiables. Los expertos se han mostrado bastante preocupados sobre la seguridad de estas después de detectarse incidentes de minoristas malintencionados que han preinstalado malware en dispositivos Android.
¿Cómo deshacerse del malware preinstalado en los dispositivos?
Una vez que el malware ha sido instalado en la ROM del dispositivo usando privilegios del sistema, resulta bastante difícil solucionar la infección de nuestro terminal inteligente.
Para eliminar el malware se puede acceder como root al dispositivo y desinstalarlo como si fuese cualquier otra aplicación, aunque también se puede recurrir una reinstalación completa del firmware mediante flashing, un proceso que resulta complejo, así que como alternativa se recomienda apagar el dispositivo y acercarse un técnico de móviles certificado.
Debido a que Android es un sistema operativo abierto, puede ser más vulnerable a más ataques de virus que su rival, IOS (sistema operativo de los terminales Apple). Sin embargo en esta ocasión, la apertura de Android no ha sido el culpable de esta infección.
