Lo barato a veces sale caro: el equipo de seguridad Human ha detallado un abrumador proyecto de fraude y malware que incluía malware preinstalado en 74.000 dispositivos Android de todo tipo, desde móviles a tablets o TV boxes.
Según la información, uno o varios fabricantes chinos han incluído malware integrado directamente en el sistema operativo de Android, convirtiendo los móviles, tablets, TV Boxes y resto de dispositivos en un troyano capaz de realizar todo tipo de actividades nefastas una vez los consumidores los ponen en marcha en casa.
Este dispositivo Android es un troyano
Cualquier persona que haya hecho una búsqueda de cualquier dispositivo electrónico en una tienda como Amazon se ha encontrado con multitud de cacharros sin marca aparente que valen mucho más baratos de los que provienen de una marca conocida. El equipo de seguridad de Human ha encontrado algunos de ellos que vienen con una desagradable sorpresa: son básicamente un enorme troyano disfrazado de dispositivo.
Concretamente, los dispositivos modifican el sistema Android para incluir la puerta trasera, que han nombrado como BADBOX. Al ser parte del firmware, es prácticamente imposible librarse de ella una vez hemos comprado un dispositivo con este malware preinstalado. Los investigadores lo han encontrado en 74.000 productos a la venta en 227 países, por lo que la operación parece ser bastante importante.
Algunos de los dispositivos con troyanos analizados por Human
Nada más encender uno de estos dispositivos, se conectan a un panel de control remoto que los convierte en un dispositivo de espionaje capaz de realizar todo tipo de actividades maliciosas, desde crear servidores proxy para que otros se conecten a través de nuestra conexión (y usando nuestra IP) a fraude publicitario haciendo clics en anuncios sin parar en una ventana invisible, la creación de cuentas de Gmail o WhatsApp, la instalación de código remoto sin permiso y un largo etcétera.
No obstante, una parte del software malicioso de BADBOX no es exclusiva de estos dispositivos Android, sino que también se han integrado en aplicaciones Android y iOS disponibles en las tiendas de aplicaciones. El fraude publicitario de BADBOX, denominado PEACHPIT, se ha encontrado en decenas de aplicaciones en Android y iOS, como las siguientes:
Lista de aplicaciones Android y iOS con el fraude publicitario PEACHPIT, por Human
BADBOX nos recuerda la importancia de confiar en los dispositivos certificados y no caer en los cacharros aleatorios misteriosamente baratos que parecen salir de la nada y suelen venir acompañados de reseñas falsas. De hecho, una de las conclusiones y recomendaciones que saca Human del asunto es que los consumidores deben en la medida de lo posible evitar los móviles, tablets o TV Boxes sin marca y sin certificación de Android.
La buena noticia es que los investigadores de Human se han encontrado con que las redes, componentes y servidores que permiten a BADBOX funcionar ya no están activos, aunque dudan que sea el final del trayecto. Más bien, es más posible que sus creadores estén buscando una nueva estrategia para continuar con sus actividades después de que se les haya descubierto.
Teniendo en cuenta que muchos de estos dispositivos siguen estando a la venta en lugares de ecommerce, el hecho de que vengan con un firmware preparado para el malware, aunque esté inactivo en este momento, desde luego no es demasiado halagüeño. Desde Human aseguran estar en contacto con varias tiendas para intentar que retiren estos productos.
Más información | Human Security
En Xataka Móvil | Cómo saber si tengo un virus en el móvil
Ver 4 comentarios