Se detecta malware preinstalado en al menos 36 modelos de Smartphones

Se detecta malware preinstalado en al menos 36 modelos de Smartphones

Al menos 36 modelos de teléfonos inteligentes de gama alta pertenecientes a empresas como Samsung, LG, Xiaomi, Asus, Nexus, Oppo y Lenovo, están siendo distribuidos con malware precargado.
Estos dispositivos infectados se identificaron después de que CheckPoint realizó un análisis en estos en dispositivos Android. Se detectaron dos familias de malware en los dispositivos infectados: Loki y SLocker.

Que es SLocer?

Es el primer ransomware para Android que encrypta todos los archivos. Usa la red Tor para comunicarse con su creador.

Formas de eliminarlo:
Lo que hace SLocker inhabilita el botón Atrás al mostrar el mensaje de rescate para impedir que el usuario intente recuperar el uso normal del dispositivo. Sin embargo, el usuario puede tener unos segundos para eliminar la aplicación malintencionada pulsando el botón Inicio y arrastrando la aplicación hasta la parte superior de la pantalla para desinstalarla.

Alternativamente, el usuario puede optar por realizar un restablecimiento de datos de fábrica en el dispositivo para eliminar la aplicación malintencionada. Esto también borrará todos los archivos de usuario guardados en la memoria principal del dispositivo, pero no afectará a los archivos almacenados en una tarjeta de memoria externa.

Que es Loki?

Loki es un troyano multicomponente que infecta los dispositivos en varios pasos. Primero se carga en el dispositivo y a continuación lo ejecuta un programa malicioso. Durante la primera ejecución el malware establece comunicación con el servidor del ataque y descarga el componente malicioso Android.Loki.28, además de varios exploits necesarios para obtener acceso de root. Después de ejecutar los exploits, el troyano incrementea sus privilegios y lanza el módulo Android.Loki.28.

Estas apps estaban en la rom oficial?

Según el post publicado por los investigadores de Check Point, estas aplicaciones de software malicioso no formaban parte del firmware ROM oficial suministrado por los fabricantes, sino que se instalaron más tarde en algún lugar a lo largo de la cadena de suministro, antes de que los teléfonos lleguen a dos compañías (no mencionadas) desde el fabricante.

Cuando se descubrio todo esto?

Visto por primera vez en febrero de 2016, Loki inyecta procesos del sistema operativo Android para obtener privilegios de root. Este troyano también incluye características de spyware, para obtener la lista de aplicaciones actuales, el historial del navegador, la lista de contactos, el historial de llamadas y los datos de ubicación.

Por otro lado, SLocker es un ransomware móvil que bloquea los dispositivos de las víctimas y pide el rescate a través de TOR, con el fin de ocultar la identidad de sus operadores.

La investigación desvela que el malware viene con el terminal, por lo que cualquier usuario que compre alguno de los terminales en los que ha sido detectado, ya tiene el malware instalado sin conocer su existencia.

Como ya comentamos, estos malwares han sido detectado en 36 terminales, algunos de ellos son los siguientes:

  • Galaxy Note 2
  • LG G4
  • Galaxy S7
  • Galaxy S4
  • Galaxy Note 4
  • Galaxy Note 5
  • Xiaomi Mi 4i
  • Galaxy A5
  • ZTE x500
  • Galaxy Note 3
  • Galaxy Note Edge
  • Galaxy Tab S2
  • Galaxy Tab 2
  • Oppo N3
  • Vivo X6 plus
  • Nexus 5
  • Nexus 5X
  • Asus Zenfone 2
  • LenovoS90
  • OppoR7 plus
  • Xiaomi Redmi
  • Lenovo A850

Esta no es la primera vez que ocurre y tampoco será la última. En diciembre del año pasado, se descubrió que algunos smartphones y tabletas Android de bajo costo eran enviados con firmware malicioso. En noviembre, los investigadores descubrieron una puerta trasera oculta en el firmware de AdUps de más de 700 millones de teléfonos inteligentes Android. También se descubrió un fallo en el firmware de Ragentek utilizado por ciertos dispositivos Android de bajo coste que permitía a los atacantes ejecutar remotamente código malicioso con privilegios de root, transfiriendo el control total de los dispositivos a los delincuentes.

Dado que el malware se instaló en la ROM del dispositivo utilizando privilegios del sistema, es difícil deshacerse de las infecciones.

Para limpiar los dispositivos infectados, se puede rootear el dispositivo y desinstalar las aplicaciones fácilmente, o bien, se tendría que reinstalar completamente el firmware/ROM del teléfono a través de un proceso de “Flashing”. Si no, se recomienda que los usuarios apaguen el dispositivo y se acerquen a un proveedor de servicios móviles certificado para realizar la limpieza.

Que quede claro que no los infectaron los fabricantes si no algún distribuidor, por lo que puede estar presente en cualquier móvil asi que hay que andarse con ojo.

Read more