Conecta con nosotros

Noticias

Descubren complementos maliciosos en el firmware de dispositivos Android

Publicado

el

firmware de Android

Investigadores de Trend Micro denuncian que la preinstalación de malware en dispositivos Android, principalmente smartphones, se ha vuelto cada vez más común en los últimos años.

La existencia de malware contra Android es una historia muy vieja que hemos repetido muchas veces, sin embargo, lo normal es que sea obtenido a través de tiendas o repositorios poco fiables o mediante la mismísima Play Store de Google, a pesar de que el gigante del buscador ha implementado cosas como Play Protect para reforzar la seguridad de su propio frente.

Lo que denuncian los investigadores de Trend Micro va un paso más allá debido a que el malware viene preinstalado en los dispositivos Android, por lo que en consecuencia es más difícil de desinstalar. Lo que el usuario ha instalado desde la Play Store u otras tiendas es fácil de quitar, pero cuando el malware está incrustado en el sistema o en el firmware del dispositivo, la tarea de eliminarlo se vuelve más complicada y puede terminar requiriendo de medidas drásticas.

Profundizando en los hallazgos de Trend Micro, muchas de las imágenes de firmware que han analizado contenían fragmentos de código que han sido descritos como “complementos silenciosos”. Los investigadores han descubierto más de 80 de esos complementos, pero solo unos pocos han sido distribuidos de manera generalizada. Lo peor es que los más populares se venden clandestinamente y se promocionan a través de blogs y plataformas como Facebook y YouTube.

¿Y qué permiten hacer esos “complementos silenciosos”? Entre las posibilidades, según Trend Micro, está la posibilidad de que los ciberdelincuentes puedan “alquilar” varios dispositivos a la vez por hasta cinco minutos y emplearlos para robar credenciales u otra información confidencial del usuario. Otros complementos brindan la posibilidad de descargar e introducir malware adicional en el dispositivo infectado.

Los expertos de la empresa de ciberseguridad señalan que otro motivo es la competencia a la baja entre los desarrolladores de firmware para móviles, que ha provocado que su venta haya dejado de ser rentable y en consecuencia muchos desarrolladores comenzaron a ofrecer su firmware de forma gratuita.

smartphones

Los investigadores estiman que en estos momentos se usan millones de dispositivos infectados en todo el mundo, con Europa del Este y el Sudeste Asiático como las zonas aparentemente más afectadas por estos “complementos silenciosos”. Sobre datos concretos, lo curioso es que los propios ciberdelincuentes se jactan de que 8,9 millones de dispositivos Android están cargados con al menos uno de estos “complementos silenciosos” (que a estas alturas queda claro que son complementos maliciosos).

Trend Micro ha confirmado la presencia de estos complementos maliciosos en al menos diez proveedores de dispositivos, la mayoría de estos de origen chino. La firma de ciberseguridad sospecha que hay otros cuarenta proveedores afectados, pero por ahora están más interesados en determinar en qué parte de la cadena de suministro es más probable que ocurra la infección.

Por su parte, Google es consciente del problema, pero este no resulta fácil de resolver debido a la complejidad de la cadena de suministro de los OEM de Android y a la naturaleza abierta de Android Open Source Project, que puede allanar mucho el terreno a los desarrolladores de malware si las cosas no se hacen correctamente, sobre todo en lo que respecta a la supervisión. Los dispositivos baratos procedentes principalmente de marcas de origen chino son aparentemente los más afectados por los “complementos silenciosos”, así que desde Trend Micro recomiendan comprar dispositivos de gamas más altas y procedentes de fabricantes como Samsung o Google.

El gigante del buscador ha invertido en los últimos años bastantes esfuerzos para expandir las capacidades de Play Protect con el propósito de monitorear las aplicaciones que vienen preinstaladas en dispositivos Android y hallar comportamientos maliciosos. Sin embargo, posiblemente la compañía con sede en Mountain View tenga un desafío por delante en la detección y detención de estos “complementos silenciosos”.

Las medidas tomadas por Google, como no podía ser de otra forma, han sido respondidas con más investigación por parte de los ciberdelincuentes para eludir las protecciones introducidas, lo que ha derivado en el desarrollo de negocios en la dark web cuyos servicios cuestan entre 2.000 y 20.000 dólares según Kaspersky.

Lo más leído