Clicky

Malware preinstalado encontrado en 5 millones de populares teléfonos Android

Categoría: Seguridad
Visitas: 1605
Malware teléfono Android

RottenSys afecta a marcas como Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung y GIONEE

Investigadores de seguridad han descubierto una campaña de malware de masivo crecimiento continuo que ya ha infectado a casi 5 millones de dispositivos móviles en todo el mundo.

Denominado RottenSys el malware, que se disfraza como una aplicación del 'Servicio de Wi-Fi del sistema', viene preinstalado en millones de nuevos teléfonos inteligentes fabricados por Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung y GIONEE, agregado en algún punto de la cadena de suministro.

Todos estos dispositivos afectados se enviaron a través de Tian Pai, un distribuidor de teléfonos móviles con sede en Hangzhou, pero los investigadores no están seguros de si la empresa tiene una participación directa en esta campaña.

Según Check Point Mobile Security Team, quien descubrió esta campaña, RottenSys es una pieza avanzada de malware que no proporciona ningún servicio seguro relacionado con Wi-Fi pero que toma casi todos los permisos sensibles de Android para habilitar sus actividades maliciosas.

"De acuerdo con nuestros hallazgos, el malware de RottenSys comenzó a propagarse en septiembre de 2016. Para el 12 de marzo de 2018, 4.964.460 dispositivos fueron infectados por RottenSys", dijeron los investigadores.

Para evadir la detección, la falsa aplicación de servicio de Wi-Fi del sistema viene inicialmente sin ningún componente malicioso y no inicia inmediatamente ninguna actividad maliciosa.

En cambio, RottenSys ha sido diseñado para comunicarse con sus servidores de comando y control para obtener la lista de componentes necesarios, que contienen el código malicioso real.

RottenSys luego descarga e instala cada uno de ellos en consecuencia, utilizando el permiso "DOWNLOAD_WITHOUT_NOTIFICATION" que no requiere ninguna interacción del usuario.

Los hackers ganaron $ 115.000 solo en los últimos 10 días

ganancias hackers por malware RottenSys

En este momento, la masiva campaña de malware empuja un componente de adware a todos los dispositivos infectados que muestra agresivamente los anuncios en la pantalla de inicio del dispositivo, como ventanas emergentes o anuncios de pantalla completa para generar ingresos publicitarios fraudulentos.

"RottenSys es una red publicitaria extremadamente agresiva. En los últimos 10 días, lanzó publicidades agresivas 13.250.756 veces (llamadas impresiones en la industria publicitaria), y 548.822 de las cuales se tradujeron en clics publicitarios", dijeron los investigadores.

Según los investigadores de CheckPoint, el malware ha reportado a sus autores más de $ 115.000 solo en los últimos 10 días, pero los atacantes pueden "hacer algo mucho más dañino que simplemente mostrar anuncios no deseados".

Dado que RottenSys ha sido diseñado para descargar e instalar cualquier componente nuevo desde su servidor de C&C, los atacantes pueden militarizar fácilmente o tomar el control total de millones de dispositivos infectados.

La investigación también reveló algunas pruebas de que los atacantes de RottenSys ya comenzaron a convertir millones de esos dispositivos infectados en una red masiva de botnets.

Se han encontrado algunos dispositivos infectados que instalan un nuevo componente de RottenSys que brinda a los atacantes habilidades más amplias, incluida la instalación silenciosa de aplicaciones adicionales y la automatización de la IU.

"Curiosamente, una parte del mecanismo de control de la botnet se implementa en las secuencias de comandos Lua. Sin intervención, los atacantes podrían reutilizar su canal de distribución de malware existente y tomar pronto el control de millones de dispositivos", señalaron los investigadores.

Esta no es la primera vez que los investigadores de CheckPoint encuentran marcas de primer nivel afectadas por un ataque a la cadena de suministro.

El año pasado la firma encontró teléfonos inteligentes pertenecientes a Samsung, LG, Xiaomi, Asus, Nexus, Oppo y Lenovo, infectados con dos piezas de malware preinstalado (Loki Trojan y SLocker mobile ransomware) diseñadas para espiar a los usuarios.

¿Cómo detectar y eliminar malware Android?

Para verificar si tu dispositivo está infectado con este malware, ve a la configuración del sistema de Android → Administrador de aplicaciones, y luego busca los siguientes posibles nombres de paquetes de malware:

• com.android.yellowcalendarz (每日黄历)
• com.changmi.launcher (畅米桌面)
• com.android.services.securewifi (系统WIFI服务)
• com.system.service.zdsgt

Si alguno de los anteriores está en la lista de tus aplicaciones instaladas, simplemente desinstálalo.