Se encontró malware pre-instalado en dispositivos Android

Una campaña de malware en curso que hasta ahora ha cobrado 5 millones de víctimas, descubrió un equipo de investigadores de seguridad de la información. Según se informa, el malware apodado como RottenSys ha logrado crear un ejército masivo de botnets que comprende 5 millones de smartphones  de todo el mundo.

El malware está oculto en una aplicación de servicio de Wi-Fi del sistema que ya está instalada de manera predeterminada en innumerables modelos de smartphones  fabricados por empresas destacadas como Honor, Huawei, GIONEE, Samsung, Oppo, Vivo y Xiaomi.

android malware preinst

Según el informe de la investigación, los investigadores en seguridad de la información creen que estas empresas no pueden ser directamente responsables del malware y que los dispositivos deben haber sido infectados durante la fase de la cadena de suministro. Probablemente, se debe culpar a la empresa de distribución o a un empleado deshonesto por la instalación de malware.

Los dispositivos afectados se enviaron a través del mismo distribuidor de smartphones  con sede en Hangzhou, China, Tian Pai. Sin embargo, los investigadores aún no están seguros de si esta empresa en particular tiene una participación directa en la instalación del malware RottenSys.

RottenSys es un programa altamente sofisticado y avanzado que adquiere casi todos los permisos confidenciales en un teléfono móvil Android para realizar sus actos maliciosos, según afirman los analistas de seguridad de la información. Solicita permiso de descarga silenciosa (DOWNLOAD_WITHOUT_NOTIFICATION permission), permiso de servicio de accesibilidad y privilegio de acceso de lectura de calendario de usuario. La campaña comenzó en septiembre de 2016 y hasta el 12 de marzo de 2018, ha infectado 4.964.460 dispositivos.

La aplicación de servicio de Wi-Fi falso logra evadir la detección mediante el empleo de un enfoque sumiso al principio y no inicia al instante sus tareas maliciosas. Más tarde, el componente cuentagotas de malware se comunica con su servidor C & C para recibir una lista de los componentes que necesita. El componente requerido es en realidad el código malicioso. El malware es capaz de armar un ejército de botnets y en tan solo diez días los atacantes obtuvieron ganancias de aprox. $ 115,000.

android malware ganancia jpg

“RottenSys es una red publicitaria extremadamente agresiva. Solo en los últimos 10 días, lanzó publicidades agresivas 13,250,756 veces, y 548,822 de las cuales se tradujeron en clics en anuncios “, leyó la publicación del blog de Check Point.

Originalmente, el malware se usaba para mostrar anuncios fraudulentos en la pantalla de inicio de smartphones. Los investigadores de seguridad de la información afirman que desde el inicio de 2018, los actores de amenazas maliciosas han intentado mejorar el código de malware agregando un nuevo módulo y han creado una nueva campaña de malware utilizando el mismo servidor de C & C. Esta campaña se mantuvo activa desde febrero de 2018.

“Los atacantes planean aprovechar el marco de virtualización de aplicaciones Tinker de Tencent como mecanismo de cuentagotas. La carga útil que se distribuirá puede convertir al dispositivo víctima en un esclavo en una botnet más grande “, continua la publicación.

El botnet puede realizar una variedad de tareas, como instalar aplicaciones adicionales discretamente, automatizar la interfaz de usuario. Los investigadores de seguridad de la información identificaron que una parte del mecanismo de control de botnets se implementa en los scripts de Lua. Por lo tanto, el atacante puede reutilizar el canal de distribución de malware existente sin ninguna intervención y obtener el control de millones de dispositivos.

Los usuarios pueden desinstalar fácilmente el cuentagotas de RottenSys si solo conocen el nombre exacto del paquete que se va a eliminar. Actualmente, los expertos en seguridad de la información no están seguros de cómo los hackers usarían el ejército de botnets que han ensamblado hasta ahora.