Inicio » Google confirma puerta trasera preinstalada en dispositivos Android
CIBERSEGURIDAD

Google confirma puerta trasera preinstalada en dispositivos Android

Google-puerta-trasera-Android

Los delincuentes en 2017 lograron obtener una puerta trasera avanzada preinstalada en dispositivos Android antes de abandonar las fábricas de los fabricantes, confirmaron los investigadores de Google el jueves.

Triada salió a la luz en 2016 en artículos publicados por Kaspersky aquí y aquí , el primero de los cuales dijo que el malware era “uno de los troyanos móviles más avanzados” que los analistas de la firma de seguridad habían encontrado. Una vez instalado, el propósito principal de Triada era instalar aplicaciones que pudieran usarse para enviar spam y mostrar anuncios. Empleó un impresionante conjunto de herramientas, que incluía ataques de rooting que evitaban las protecciones de seguridad incorporadas en Android y los medios para modificar el todopoderoso proceso Zygote del sistema operativo Android. Eso significaba que el malware podía alterar directamente cada aplicación instalada. Triada también se conectó a no menos de 17 servidores de comando y control.

En julio de 2017, la firma de seguridad Dr. Web informó que sus investigadores encontraron que Triada estaba incorporada en el firmware de varios dispositivos Android , incluidos Leagoo M5 Plus, Leagoo M8, Nomu S10 y Nomu S20. Los atacantes utilizaron la puerta trasera para descargar e instalar módulos a escondidas. Debido a que la puerta trasera estaba incorporada en una de las bibliotecas del sistema operativo y ubicada en la sección del sistema, no se pudo eliminar utilizando métodos estándar, según el informe.

¿Qué pasa con Android?

El jueves, Google confirmó el informe del Dr. Web, aunque no llegó a mencionar a los fabricantes. El informe del jueves también dijo que el ataque a la cadena de suministro fue llevado a cabo por uno o más socios que los fabricantes utilizaron para preparar la imagen de firmware final utilizada en los dispositivos afectados. Lukasz Siewierski, miembro del Equipo de Seguridad y Privacidad de Android de Google, escribió:

La publicación del jueves también amplió el análisis previo de las características que hicieron a Triada tan sofisticada. Por un lado, usaba codificación XOR y archivos ZIP para cifrar las comunicaciones. Y, por otra parte, inyectó código en la aplicación de interfaz de usuario del sistema que permitía que se mostraran los anuncios. La puerta trasera también inyectó un código que le permitió usar la aplicación Google Play para descargar e instalar aplicaciones a elección de los atacantes.

“Las aplicaciones se descargaron del servidor C&C, y la comunicación con C&C se cifró utilizando la misma rutina de cifrado personalizada con doble XOR y zip”, escribió Siewierski. “Las aplicaciones descargadas e instaladas usaban los nombres de paquetes de aplicaciones no populares disponibles en Google Play. No tenían ninguna relación con las aplicaciones en Google Play, aparte del mismo nombre de paquete”.

LEA TAMBIEN  Vulnerabilidad en Cámara IP Amcrest IP2M-841B basada en código de Dahua

Mike Cramp, investigador principal de seguridad del proveedor de seguridad móvil Zimperium, estuvo de acuerdo con las evaluaciones de que las capacidades de Triada eran avanzadas.

“Por lo que parece, Triada parece ser una pieza de malware relativamente avanzada que incluye capacidades de C&C y, al principio, capacidades de ejecución de shell”, escribió Cramp en un correo electrónico. “Vemos muchos programas publicitarios, pero Triada es diferente en que usa C&C y otras técnicas que usualmente veríamos más en el lado del malware malicioso. Sí, todo esto se usa para entregar anuncios, pero la forma en que Es más sofisticado que la mayoría de las campañas de adware. Es más o menos un “adware sobre esteroides”.

Siewierski dijo que los desarrolladores de Triada recurrieron al ataque de la cadena de suministro después de que Google implementó medidas que derrotaron con éxito la puerta trasera. Una fue la mitigación que impidió que funcionaran sus mecanismos de enraizamiento. Una segunda medida fueron las mejoras en Google Play Protect que permitieron a la compañía desinfectar remotamente los teléfonos comprometidos.

La versión Triada que vino preinstalada en algún momento de 2017 no contenía las capacidades de enraizamiento. La nueva versión se incluyó “discretamente en la imagen del sistema como código de terceros para funciones adicionales solicitadas por los OEM”. Desde entonces, Google ha trabajado con los fabricantes para garantizar que la aplicación maliciosa se haya eliminado de la imagen del firmware.

No es la primera vez

El año pasado, Google implementó un programa que requiere que los fabricantes envíen imágenes de compilación nuevas o actualizadas a un conjunto de pruebas de compilación.

“Una de estas pruebas de seguridad analiza las PHA preinstaladas [aplicaciones potencialmente dañinas] incluidas en la imagen del sistema”, escribieron los funcionarios de Google en su Informe de seguridad anual de seguridad y privacidad 2018 de Android . “Si encontramos una PHA en la compilación, trabajamos con el socio OEM para remediar y eliminar la PHA de la compilación antes de poder ofrecerla a los usuarios”.

Aún así, el informe del jueves reconoce que, a medida que Google refuerza la seguridad en un área, los atacantes seguramente se adaptarán explotando nuevas debilidades.

“El caso Triada es un buen ejemplo de cómo los autores de malware para Android se están volviendo más adeptos”, escribió Siewierski. “Este caso también muestra que es más difícil infectar dispositivos Android, especialmente si el autor del malware requiere una elevación de privilegios”.