La semana pasada fue rica en noticias sobre la seguridad de los teléfonos inteligentes Android. Muchos medios de comunicación (por ejemplo,
ArsTechnica ) escribieron que Google "confirmó" el hecho de vender teléfonos inteligentes con una puerta trasera preinstalada "en la fábrica". La razón de tales titulares fue un
artículo completamente técnico
del experto en Google Lukasz Siverski con un análisis de la familia Triada de malware móvil.
Triada ha sido conocida por los investigadores (incluido, por supuesto, el equipo de Google) desde 2016. Por primera vez, los expertos de Kaspersky Lab describieron una puerta trasera (
aquí y
aquí ). Estos dos materiales detallan la introducción de código malicioso en el sistema operativo (ya en Android 4.x), la recopilación y el envío de datos del usuario y la modificación de varios navegadores para mostrar anuncios publicitarios.
Lo que es realmente interesante en la publicación del representante del equipo de seguridad de Android es la respuesta a la pregunta de cómo se introdujo el código malicioso en el firmware del teléfono. Los desarrolladores de dispositivos de presupuesto chinos se han puesto en contacto con contratistas para desarrollar funciones adicionales. A través de dicho contratista, se construyó una puerta trasera en el sistema.
Un estudio de Kaspersky Lab de 2016 describe la variante Triada, que podría preinstalarse en teléfonos de fabricantes chinos, pero también fue capaz de atacar a cualquier otro teléfono inteligente. Triada explotó vulnerabilidades en la versión actual de Android 4.x. Una característica única de la puerta trasera era la capacidad de integrarse en un proceso clave de Android conocido como Zygote.
Este enfoque proporcionó al troyano un control casi completo sobre el dispositivo. Un artículo del Equipo de Seguridad de Android detalla un detalle más: Triada usó un su binario modificado para obtener control sobre los procesos del sistema. Otorgaba privilegios de superusuario a las aplicaciones solo si realizaban una solicitud con la contraseña correcta.
Además, en una publicación de Lukasz Siverski, cuenta cómo la puerta trasera rastreó qué aplicación abrió el usuario. Si se trataba de un navegador, se mostraban anuncios encima de él. Si se abrió la tienda Google Play, Triada en segundo plano descargó e instaló aplicaciones desde su propio servidor de comandos.
En 2017, Dr.Web en su
estudio citó ejemplos de teléfonos inteligentes infectados con la puerta trasera de fábrica: Leagoo M5 Plus, Leagoo M8, Nomu S10 y S20. Se vendieron dispositivos económicos (alrededor de $ 100) tanto en China como en Occidente, algunos de los cuales todavía se pueden encontrar en las tiendas en línea chinas.
En un artículo reciente, Google revela un esquema para implementar la versión "de fábrica" de Triada (ver imagen arriba). Aparentemente, los proveedores de teléfonos inteligentes recurrieron a compañías externas para incluir funcionalidades adicionales en el firmware del dispositivo que no estaba disponible en el proyecto Android Open Source. Para esto, se envió una imagen del sistema al contratista (mencionado por Yehuo y Blazefire). Regresó con un apéndice, tanto legítimo (desbloqueo frente al propietario) como malicioso. Google informó que, junto con los desarrolladores de dispositivos, eliminaron los rastros de puerta trasera del firmware.
Pero, aparentemente, solo esta puerta trasera. El 7 de junio, representantes de la Administración de Seguridad de la Información (BSI) de Alemania informaron (
noticias ) sobre el descubrimiento de la puerta trasera Xgen2-CY en cuatro teléfonos inteligentes de bajo presupuesto. Los modelos Doogee BL7000, M-Horse Pure 1, Keecoo P11 y VKworld Mix Plus recopilan información del usuario y la envían al servidor de comandos, pueden instalar aplicaciones y abrir páginas en un navegador sin el conocimiento del usuario. Solo para el modelo Keecoo P11 (5.7 pulgadas, 4 núcleos, 2 gigabytes de memoria, $ 110 en GearBest) está disponible una versión actualizada del firmware sin puerta trasera. Según BSI, hasta 20 mil dispositivos acceden a servidores C & C de atacantes desde IP alemán.
En general, el problema no está completamente resuelto, y la recomendación para los consumidores probablemente será la siguiente: piénselo dos veces antes de comprar un teléfono inteligente barato de una marca dudosa. En julio pasado, citamos un artículo de Motherboard que
describía la réplica de un centavo del iPhone X de China. El dispositivo envió información del usuario a derecha e izquierda. Tales artesanías generalmente no caen fuera de China, pero algunos dispositivos "internacionales" no son mejores. Mientras discutimos cuestiones de privacidad y la práctica de recopilar datos de usuarios de todos los participantes del mercado, decenas de miles de personas en todo el mundo se están convirtiendo en víctimas de los cibercriminales.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.