Al menos 36 modelos de teléfonos inteligentes de gama alta pertenecientes a empresas como Samsung, LG, Xiaomi, Asus, Nexus, Oppo y Lenovo, están siendo distribuidos con malware precargado.
Estos dispositivos infectados se identificaron después de que CheckPoint realizó un análisis en estos en dispositivos Android. Se detectaron dos familias de malware en los dispositivos infectados: Loki y SLocker.
Según el post publicado por los investigadores de Check Point, estas aplicaciones de software malicioso no formaban parte del firmware ROM oficial suministrado por los fabricantes, sino que se instalaron más tarde en algún lugar a lo largo de la cadena de suministro, antes de que los teléfonos lleguen a dos compañías (no mencionadas) desde el fabricante.
Visto por primera vez en febrero de 2016, Loki inyecta procesos del sistema operativo Android para obtener privilegios de root. Este troyano también incluye características de spyware, para obtener la lista de aplicaciones actuales, el historial del navegador, la lista de contactos, el historial de llamadas y los datos de ubicación.
Por otro lado, SLocker es un ransomware móvil que bloquea los dispositivos de las víctimas y pide el rescate a través de TOR, con el fin de ocultar la identidad de sus operadores.
La investigación desvela que el malware viene con el terminal, por lo que cualquier usuario que compre alguno de los terminales en los que ha sido detectado, ya tiene el malware instalado sin conocer su existencia.
Como ya comentamos, estos malwares han sido detectado en 36 terminales, algunos de ellos son los siguientes:
- Galaxy Note 2
- LG G4
- Galaxy S7
- Galaxy S4
- Galaxy Note 4
- Galaxy Note 5
- Xiaomi Mi 4i
- Galaxy A5
- ZTE x500
- Galaxy Note 3
- Galaxy Note Edge
- Galaxy Tab S2
- Galaxy Tab 2
- Oppo N3
- Vivo X6 plus
- Nexus 5
- Nexus 5X
- Asus Zenfone 2
- LenovoS90
- OppoR7 plus
- Xiaomi Redmi
- Lenovo A850
Esta no es la primera vez que ocurre y tampoco será la última. En diciembre del año pasado, se descubrió que algunos smartphones y tabletas Android de bajo costo eran enviados con firmware malicioso. En noviembre, los investigadores descubrieron una puerta trasera oculta en el firmware de AdUps de más de 700 millones de teléfonos inteligentes Android. También se descubrió un fallo en el firmware de Ragentek utilizado por ciertos dispositivos Android de bajo coste que permitía a los atacantes ejecutar remotamente código malicioso con privilegios de root, transfiriendo el control total de los dispositivos a los delincuentes.
Remoción
Dado que el malware se instaló en la ROM del dispositivo utilizando privilegios del sistema, es difícil deshacerse de las infecciones.
Para limpiar los dispositivos infectados, se puede rootear el dispositivo y desinstalar las aplicaciones fácilmente, o bien, se tendría que reinstalar completamente el firmware/ROM del teléfono a través de un proceso de “Flashing”. Si no, se recomienda que los usuarios apaguen el dispositivo y se acerquen a un proveedor de servicios móviles certificado para realizar la limpieza.
Fuente: The Hacker News