Aquí hay algunas malas noticias para los usuarios de Android de nuevo, ciertos teléfonos inteligentes y tabletas Android de bajo coste se envían con firmware malicioso, que reúne datos en forma encubierta de los dispositivos infectados, muestra publicidad en la parte superior de la ejecución de aplicaciones y descargas de archivos APK no deseados en los dispositivos de la víctima.
Los investigadores de seguridad de Rusia Dr.Web proveedor de antivirus han descubierto dos tipos de troyanos que se han incorporado en el firmware de un gran número de dispositivos Android populares que operan en la plataforma MediaTek, que se comercializan principalmente en Rusia.
Los troyanos, detectados como Android.DownLoader.473.origin y Android.Sprovider.7, son capaces de recopilar datos sobre los dispositivos infectados, ponerse en contacto con sus servidores de comando y control, de forma automática actualizarse a sí mismos, de forma encubierta descargar e instalar otras aplicaciones basadas en las instrucciones que recibe de su servidor y corriendo cada vez que se reinicie el dispositivo o encendido.
La lista de modelos de dispositivos Android que se ven afectados por el firmware malicioso:
Lenovo A319, Lenovo A6000, MegaFon Entrar 4 LTE, Bravis NB85, Bravis NB105, Irbis TZ85, Irbis TX97, Irbis TZ43, Irbis tz56, Pixus Touch 7,85 3G, SUPRA M72KG, SUPRA M729G, SUPRA V2N10, Itell K3300, Digma Plano 9.7 3G, el general satélite GS700, Nomi C07000, Optima 10.1 3G TT1040MG, mariscal ME-711, 7 MID, Explay Imperium 8, Perfeo 9032_3G, Prestigio MultiPad Wize 3021 3G, Prestigio MultiPad PMT5001 3G, Ritmix RMD-1121, ostras T72HM 3G, Irbis tz70, y Jeka JK103.
«Se sabe que los criminales cibernéticos generan sus ingresos mediante el aumento de las estadísticas de descarga de aplicaciones y mediante la distribución de software de publicidad», señalaron los investigadores. «Por lo tanto, [ambos] troyanos fueron incorporadas en el firmware de Android porque subcontratistas deshonestos que tomaron parte en la creación de imágenes del sistema Android decidieron hacer dinero con los usuarios.»
Android.Sprovider.7 troyano fue descubierto en el firmware de los teléfonos inteligentes Lenovo A319 y A6000 Lenovo. El troyano es capaz de hacer muchas cosas, incluyendo:
- Descargar, instalar y ejecutar archivos APK.
- Abrir un enlace especificado en un navegador.
- Hacer llamadas telefónicas a números determinados mediante el uso de una aplicación del sistema.
- Ejecutar una aplicación de teléfono estándar del sistema en el que ya se marca un número especificado.
- Mostrar publicidad en la parte superior de todas las aplicaciones.
- Además, visualizar anuncios en la barra de estado.
- Crear un acceso directo en la pantalla de inicio.
- Actualizar un módulo malicioso importante.
Por otro lado, Android.DownLoader.473.origin que encuentra en los dispositivos restantes, descarga e instala otros programas maliciosos y aplicaciones no deseadas, incluyendo un programa de publicidad llamado H5GameCenter.
H5GameCenter muestra una imagen pequeña en la parte superior de todas las aplicaciones en ejecución, y no hay ninguna opción para desactivarla. Incluso si los usuarios infectados eliminan esta aplicación, el troyano en el firmware vuelve a instalar la aplicación.
El mes pasado, los investigadores de seguridad de Kryptowire descubrieron la puerta trasera oculta en el firmware de muchos teléfonos inteligentes Android de presupuesto que se venden en los EE.UU., que también en secreto, recopila datos sobre los propietarios de teléfonos y lo envía a un servidor chino sin conocimiento del usuario.
El software del firmware «backdoored» fue desarrollado por la empresa con sede en China de Shanghai AdUps Tecnología, que afirma que su software ejecuta actualizaciones para más de 700 millones de dispositivos en todo el mundo.
En una investigación por separado el mes pasado, la firma de evaluación de seguridad BitSight descubrió una falla en el firmware Ragentek utilizado por ciertos dispositivos Android de bajo costo que les permite a los atacantes ejecutar remotamente código malicioso con privilegios de root, entregar el control completo de los dispositivos a los piratas informáticos.