Un Troyano viene preinstalado en más de 40 modelos de dispositivos Android

A mediados de 2017, los analistas de Doctor Web descubrieron un nuevo troyano Android.Triada.231 en el firmware de algunos modelos baratos de dispositivos Android. Desde esta detección, la lista de dispositivos infectados ha aumentado constantemente. Por el momento, la lista contiene más de 40 modelos. Los especialistas de Doctor Web han monitoreado la actividad del troyano y ahora publicarón los resultados de esta investigación.

Android.Triada.231: es uno de los troyanos más peligrosos de Android.Triada. Estos troyanos infectan el proceso de un componente importante del sistema Android, Zygote. Este proceso se usa para iniciar todas las aplicaciones.

Qué es Zygote?

Zygote es un proceso primario para todas las aplicaciones Android y contiene las bibliotecas del sistema y los frameworks utilizados por casi todas las aplicaciones. Este proceso funciona como una plantilla para cada nueva aplicación, lo que significa que una vez que el troyano se introduce en el proceso, se convierte en una parte de la plantilla y por lo tanto estará presente en cada aplicación que se ejecute, pudiendo cambiar la lógica de su funcionamiento. Esto abre una amplia gama de oportunidades a los atacantes.

Troyado Android.Triada.231

Una vez que los troyanos se inyectan en este módulo, penetran en otras aplicaciones en ejecución. Al hacerlo, obtienen la capacidad de llevar a cabo diversas actividades maliciosas sin intervención del usuario: descargan y lanzan software de forma encubierta. La característica clave de Android.Triada.231 es que los ciberdelincuentes inyectan este troyano en la biblioteca del sistema libandroid_runtime.so. No distribuyen el troyano como un programa separado. Como resultado, la aplicación maliciosa penetra en el firmware del dispositivo durante la fabricación. Los usuarios reciben sus dispositivos ya infectados desde la fábrica.

En el verano pasado, después de la detección de Android.Triada.231, los investigadores de seguridad de Doctor Web notificaron a los fabricantes que produjeron los dispositivos infectados. Sin embargo, los nuevos modelos de teléfonos inteligentes continúan infectados con este malware. Por ejemplo, se detectó en el teléfono inteligente Leagoo M9 que se anunció en diciembre de 2017. Además, la investigación mostró que la penetración del troyano en el firmware ocurrió a pedido del socio de Leagoo, un desarrollador de software de Shanghai. Esta empresa le proporcionó a Leagoo una de sus aplicaciones para ser incluida en una imagen del sistema operativo móvil, así como también una instrucción para agregar código de terceros en las bibliotecas del sistema antes de su compilación. Desafortunadamente, esta solicitud polémica no evocó ninguna sospecha del fabricante. Finalmente, Android.Triada.231 llegó a los teléfonos inteligentes sin ningún obstáculo.

El análisis de esta aplicación mostró que está firmado con el mismo certificado que Android.MulDrop.924. Podemos suponer que el desarrollador que solicitó agregar el programa adicional en la imagen del sistema operativo móvil puede estar relaciando de forma expresa o implícita con la distribución de Android.Triada.231.

Por el momento, los investigadores de seguridad han detectado Android.Triada.231 en el firmware de más de 40 modelos de dispositivos Android:

  • Leagoo M5
  • Leagoo M5 Plus
  • Leagoo M5 Edge
  • Leagoo M8
  • Leagoo M8 Pro
  • Leagoo Z5C
  • Leagoo T1 Plus
  • Leagoo Z3C
  • Leagoo Z1C
  • Leagoo M9
  • ARK Benefit M8
  • Zopo Speed 7 Plus
  • UHANS A101
  • Doogee X5 Max
  • Doogee X5 Max Pro
  • Doogee Shoot 1
  • Doogee Shoot 2
  • Tecno W2
  • Homtom HT16
  • Umi London
  • Kiano Elegance 5.1
  • iLife Fivo Lite
  • Mito A39
  • Vertex Impress InTouch 4G
  • Vertex Impress Genius
  • myPhone Hammer Energy
  • Advan S5E NXT
  • Advan S4Z
  • Advan i5E
  • STF AERIAL PLUS
  • STF JOY PRO
  • Tesla SP6.2
  • Cubot Rainbow
  • EXTREME 7
  • Haier T51
  • Cherry Mobile Flare S5
  • Cherry Mobile Flare J2S
  • Cherry Mobile Flare P1
  • NOA H6
  • Pelitt T1 PLUS
  • Prestigio Grace M5 LTE
  • BQ 5510

La cantidad de modelos de teléfonos inteligentes infectados podría ser mucho mayor.

Tal amplia distribución de Android.Triada.231 muestra que muchos fabricantes de dispositivos Android prestan poca atención a las cuestiones de seguridad y la penetración del código troyano en los componentes del sistema. Esto puede deberse a un error o intento malicioso y es probable que sea una práctica común.

El antivirus Dr.Web para Android detecta todas las modificaciones posibles en Android.Triada.231. Para saber si su dispositivo móvil está infectado pasale el antivirus .

Cómo eliminar el Trojano?

Con los privilegios de root, Dr.Web Security Space para Android puede neutralizar Android.Triada.231 curando un componente del sistema infectado. Si los privilegios de root no están disponibles en el dispositivo, puede eliminar este malware instalando una imagen limpia del sistema operativo. Póngase en contacto con el fabricante de su dispositivo para recibir la imagen limpia.

Fuente: Dr.Web