La seguridad de 14.000 apps Android afectada por el SDK de Baidu

Share this…

Baidu, la empresa de Internet china más conocida, ha visto cómo se descubría una puerta trasera en su SDK. Hay más de 100 millones de usuarios afectados.

Un kit de desarrollo de software creado por la empresa de servicios de Internet Baidu y que usan miles de aplicaciones Android contiene una puerta trasera que daría acceso total a cualquier atacante a los dispositivos de los usuarios. Este SDK recibe el nombre de Moplus y, aunque no está abierto al público, se integró en más de 14.000 apps, de las cuales 4.000 fueron creadas por Baidu, según se recoge en un post del blog de Trend Micro.

La empresa de seguridad estima que las aplicaciones afectadas están siendo utilizadas por más de 100 millones de usuarios. Últimamente la mayoría del malware para Android parece venir única y exclusivamente desde China, y no es la primera vez en las últimas semanas que vemos un escándalo de este tipo saltando desde el Gigante Asiático. Vale la pena recordar que hace poco18.000 apps chinas se vieron afectadas.

¿Cómo funciona este malware?

Según los análisis conducidos por Trend Micro, el SDK Moplus habilita un servidor HTTP en los dispositivos con aplicaciones infectadas. Este servidor no usa ninguna norma de autenticación y acepta peticiones de cualquier cliente que le envíe una desde Internet.

Lo que es peor aun, enviando estas peticiones a este servidor HTTP oculto los atacantes puedenejecutar comandos predefinidos que se implementaron en el SDK. Estos comandos se pueden usar para extraer información sensible como datos de usuario, búsquedas en Internet, añadir nuevos contactos, subir archivos, realizar llamadas telefónicas, mostrar mensajes al usuario e instalar aplicaciones.

El malware abre un servidor HTTP en los terminales Android
El malware abre un servidor HTTP en los terminales Android

En dispositivos que han sido rooteados el SDK permite la instalación silenciosa de aplicaciones, lo que significa que los usuarios no serán avisados para dar su consentimiento. De hecho, los investigadores de Trend Micro ya han encontrado un gusano que explota esta puerta trasera para instalar aplicaciones no deseadas. Este malware se conoce como ANDROIDOS_WORMHOLE.HRXA.

Los investigadores de Trend Micro creen que en muchos sentidos la debilidad de Moplus es incluso peor que la de Stagefright, porque al menos aquella requería que los atacantes enviasen mensajes multimedia maliciosos a los teléfonos de los usuarios para conseguir que abriesen URLs maliciosas.

Para explotar el fallo del SDK los atacantes sólo tienen que escanear redes buscando direcciones IP que tengan puertos del servidor HTTP de Moplus abiertos.

Google y Baidu ya están sobre aviso

Trend Micro ya ha notificado de su descubrimiento a Google y Baidu, y la empresa china ha lanzado una nueva versión del SDK en la que ha eliminado algunos comandos, pero el servidor HTTP todavía se abre y algunas funcionalidades todavía se pueden explotar según la empresa de seguridad.

Google y Baidu ya han sido notificadas por Trend Micro / Nyshita talluri editada con licencia CC 2.0
Google y Baidu ya han sido notificadas por Trend Micro / Nyshita talluri editada con licencia CC 2.0

Baidu solucionó todos los problemas de seguridad que Trend Micro les mandó con fecha del pasado 30 de octubre, según un representante de la empresa china. El código que quedaba se identificó, gracias a la labor de Trend Micro, como potencialmente problemático. Después del fixaplicado por Baidu el código se ha quedado muerto y no tiene ningún efecto. Según el mismo representante “ya no existen puertas traseras” por lo que se menciona en PCWorld.

Sin embargo, queda por resolver la cuestión de cuánto tardarán en adoptar estas medidas lasthird parties que usaban este SDK para sus aplicaciones. Vale la pena señalar que algunos usuarios españoles podrían verse afectados por esta vulnerabilidad, ya que algunas apps como el navegador DU Browser siguen activas en la Google Play Store.

Fuente:https://www.malavida.com/