El malware se ha descubierto preinstalado en 36 teléfonos Android que pertenecen a dos empresas, informó el viernes el fabricante de software de seguridad de Check Point .
«En todos los casos, el malware no se ha descargado en el dispositivo como resultado del uso de los usuarios», señaló Oren Koriat, un miembro del equipo de investigación móvil de Check Point.
Las aplicaciones maliciosas en los teléfonos de una empresa de telecomunicaciones y una empresa multinacional de tecnología no eran parte del funcionario ROM suministrado por el proveedor, explicó. Ellos se han añadido en algún punto de la cadena de suministro.
Seis de los casos de malware se añadieron por un actor malicioso para la ROM del dispositivo con privilegios del sistema, lo que significa que no puede ser eliminado por el usuario y el dispositivo tenía que ser re-flasheado, Koriat añadió.
La mayoría de los programas maliciosos preinstalados constaban de ladrones de información y redes de anuncios en bruto, dijo. Incluido en el conjunto de software malicioso Slocker, un programa de ransomware móvil que cifra toda la información en un dispositivo y exige un pago para descifrarlo.
Loki malware también fue parte de la mezcla. No sólo genera ingresos mediante la publicación de anuncios falsos, pero también roba datos sobre un dispositivo y puede tomar el control de la mismo.
Personalización de vulnerabilidades
«Desafortunadamente, esto no es inesperado o incluso la primera vez que hemos visto este tipo de ataque a la cadena de suministro», dijo Mark Nunnikhoven, ingeniero principal de la nube y las tecnologías emergentes en Trend Micro .
El camino de fabricante a usuario para un teléfono Android de terceros normalmente implica cuatro pasos: En primer lugar, una nueva versión del sistema operativo se libera. A continuación, un proveedor de teléfonos probará y personalizará el sistema operativo antes de pasarlo a un operador. El transportista también probará y personalizará el teléfono. Finalmente, terminará en las manos del usuario.
«El problema es que cuando se personaliza el teléfono, se puede inyectar software malicioso o adware», dijo Nunnikhoven a LinuxInsider. «Esto parece haber sido el caso aquí.»
Hay una ley de seguridad informática que el acceso físico siempre es suficiente para que un atacante pueda hacerse con el control de un dispositivo, dijo Craig Young, un investigador senior de seguridad de Tripwire .
«Eso significa que cualquier persona con acceso físico al dispositivo, ya sea un intruso o con información privilegiada, podría conectar los dispositivos uno a uno a un ordenador e instalar aplicaciones maliciosas», dijo a LinuxInsider.
Los consumidores están impotentes
ataques a la cadena de suministro como el descubierto por Check Point plantean un problema serio para cualquier consumidor que recibe un teléfono.
«En un escenario como éste, el único método para protegerse de esta amenaza sería escanear el teléfono nada más sacarlo de la caja,» dijo Troy Gill, un analista de seguridad con AppRiver .
«Por supuesto, esta es una propuesta bastante preocupante», dijo a LinuxInsider, «pero por desgracia es la única solución en este caso.»
Los consumidores están a merced de los fabricantes en un caso como este, dijo Michael Patterson, CEO de Plixer Internacional .
«Hay una expectativa de confianza, que en este caso se rompió», dijo a LinuxInsider.
«Teniendo en cuenta esta situación en la que el malware se instala como parte de la cadena de suministro, la única forma en que los consumidores sean protegidos es que los fabricantes comienzan a hacer una prueba de control de calidad final de los productos antes de que se envíen al consumidor,» sugirió Patterson.
Cazando usuarios móviles
Debido a que Android es un sistema operativo abierto, puede ser más vulnerable a los ataques de malware que su principal rival, el IOS de Apple. Sin embargo, la apertura de Android no es el culpable en este caso, argumentado Patterson.
«En este caso, la cuestión es uno de una cadena de suministro corrupto», dijo. «Esto no era una cuestión de si existen o no las vulnerabilidades inherentes a Android, esto es un asunto de un proceso de fabricación que falló hasta el consumidor.»
Mientras que un ataque ROM en un iPhone es poco probable, los hackers han atacado la cadena de suministro de Apple con éxito. Una de las incursiones más notables fue el envenenamiento de los kits SDK utilizados por los desarrolladores chinos iOS, lo que dio lugar a aplicaciones pre-infectadas que se suben a la App Store de Apple.
Los certificados de empresa son otra vía que utilizan los hackers para atacar a iOS, señaló Young de Tripwire.
«Las empresas no pueden cocinar sus propias ROM para ejecutar iOS», dijo, «y todo el código que se ejecuta en él debe ser firmado.»
Sin embargo, Apple permite a las empresas emitir «certificados de empresa.» Aplicaciones con uno de estos certificados serán aceptados por un iPhone como si ellos fueron descargados de la App Store. «Que se ha utilizado en el pasado para distribuir malware», dijo Young.
Los usuarios de móviles no pueden ejercer demasiada atención para proteger sus teléfonos, dijo Tom Kellermann, CEO de Strategic Cyber Ventures.
«Los consumidores deben darse cuenta de que están siendo objeto de caza», dijo a LinuxInsider.
«Cuando alguien hackea su dispositivo móvil, invaden su vida física, ya que pueden llegar a ser presente en su entorno inmediato a través del micrófono, cámara y ajustes de ubicación,» señaló Kellermann.
«Los consumidores deben implementar la seguridad en estos dispositivos móviles, desactivar la ubicación y bluetooth cuando no esté usando esas funciones», aconsejó. «Si en un entorno sensible, active el modo avión«.