Google confirma que algunos dispositivos Android venían preinstalados con un backdoor

Google revela que los backdoors de Triada estaban preinstalados en algunos dispositivos Android

Google confirmó recientemente que algunos teléfonos Android fueron infectados sin saberlo con malware por parte de los fabricantes de teléfonos inteligentes incluso antes de ser enviados a los clientes.

En una publicación de estudio detallada, Google explicó cómo algunos hackers lograron poner Triada, un malware diseñado para instalar aplicaciones de spam en un dispositivo que muestra anuncios, en dispositivos Android al manipular el software preinstalado. Los creadores de Triada recolectaron ingresos de los anuncios mostrados por las aplicaciones de spam.

“Triada infecta las imágenes del sistema del dispositivo a través de un tercero durante el proceso de producción. A veces, los OEM quieren incluir características que no son parte del Proyecto de Código Abierto de Android, como el desbloqueo facial.

El OEM podría asociarse con un tercero que pueda desarrollar la característica deseada y enviar toda la imagen del sistema a ese proveedor para su desarrollo… Basado en el análisis, creemos que un proveedor que usa el nombre Yehuo o Blazefire infectó la imagen del sistema devuelta con Triada”, escribió Lukasz Siewierski, del equipo de seguridad y privacidad de Android, en una publicación de blog.

La “familia Triada” de troyanos fue descubierta por primera vez por investigadores de seguridad en Kaspersky Labs, que fue descrita en una publicación de blog en su sitio web en marzo de 2016 y luego en una publicación de seguimiento en junio de 2016.

En ese entonces, se notó como un troyano de rooting diseñado para explotar hardware después de obtener privilegios elevados. Una vez que se tuvo conocimiento sobre el funcionamiento de Triada en 2016, Google implementó detección a través de su Play Protect para eliminar muestras de Triada de todos los dispositivos.

Sin embargo, los actores maliciosos detrás del malware tomaron otro enfoque poco común y lanzaron una versión más inteligente del troyano en el verano de 2017, que fue descubierta por el proveedor de antimalware Dr. Web en julio de 2017.

“Durante el verano de 2017 notamos un cambio en las nuevas muestras de Triada. En lugar de rootear el dispositivo para obtener privilegios elevados, Triada evolucionó para convertirse en un backdoor del marco de Android preinstalado.

Los cambios en Triada incluyeron una llamada adicional en la función de registro del marco de Android, demostrada a continuación con una cadena de configuración resaltada”, agregó Siewierski.

“Al hacer un backdoor en la función de registro, el código adicional se ejecuta cada vez que se llama al método de registro (es decir, cada vez que cualquier aplicación en el teléfono intenta registrar algo). Estos intentos de registro ocurren muchas veces por segundo, por lo que el código adicional se está ejecutando sin parar. El código adicional también se ejecuta en el contexto de la aplicación que registra un mensaje, por lo que Triada puede ejecutar código en cualquier contexto de aplicación.

El marco de inyección de código en las primeras versiones de Triada funcionó en versiones de Android anteriores a Marshmallow.”

Sin embargo, el factor más preocupante es que no se podía eliminar utilizando métodos estándar. “El único método seguro y seguro para deshacerse de este troyano es instalar firmware de Android limpio”, escribió Dr. Web en su publicación de blog.

Según el informe de Dr. Web, varios dispositivos Android fueron detectados con la versión modificada de Triada, incluidos dispositivos como Leagoo M5 Plus, Leagoo M8, Nomu S10 y Nomu S20. Aunque Google no reveló los dispositivos móviles que fueron infectados por el malware, sí confirmó el informe de Dr. Web en su publicación de blog.

Desde entonces, Google ha coordinado con los OEM afectados (Fabricantes de Equipos Originales) para proporcionar actualizaciones del sistema y eliminar rastros de la variante de Triada y cerrar el backdoor a través de actualizaciones OTA (over-the-air).

Google también está ofreciendo a los OEM un sistema automatizado llamado “Build Test Suite”, que escanea imágenes del sistema contra malware como Triada y amenazas similares en todos los dispositivos Android. Además, el gigante de la búsqueda ha solicitado a los OEM que realicen una revisión de seguridad de los dispositivos en su red para todo el código de terceros y monitoreen cualquier actividad sospechosa. Además, Google estará evaluando regularmente los dispositivos ya en el mercado para buscar ataques a la cadena de suministro.