Una parte de un troyano parece tener en el punto de mira a ciertos dispositivos Android, pues se ha encontrado que venían preinstalados en el firmware de algunos de estos smartphones Android. En concreto, estos archivos fueron descubiertos a través de Dr Web, un vendedor de antivirus de origen ruso, que fueron los primeros en dar el aviso sobre el peligro que existía dentro de dichos teléfonos. El troyano, detectado como Android.Backdoor.114.origin, fue descubierto a mediados del mes de septiembre. Después de que el equipo de Dr Web contactase con el fabricante del teléfono, no se ha realizado ningún cambio oficial en el firmware, que aún sigue en la red para su descargar, incluyendo aún el programa infectado para nuestros teléfonos. De acuerdo con la información que dio el quipo de Dr Web, el malware se encontró dentro del modelo de smartphone Oysters T104 HVi 3GOysters T104 HVi 3GOysters T104 HVi 3G. El troyano apareció incluido dentro de la aplicación GoogleQuickSearchBox.apk, que viene ya preinstalada en el dispositivo. Por lo tanto, una vez compras el smartphone, el troyano ya está dentro del mismo. Este troyano es en particular bastante peligroso, pues al parecer el mismo programa ya viene con privilegios incluidos que le permiten acceder al root del teléfono en todos los dispositivos infectados.
Por ahora, el fabricante no se ha pronunciado al respecto ni ha hecho ningún tipo de declaración. A día de hoy, tampoco parece que hayan solucionado el problema en los nuevos móviles comercializados, o tampoco se ha ofrecido una solución exacta para los teléfonos que ya están infectados.
El troyano envía información a los atacantes
El principal rol del troyano es enviar información a un servidor C&C (command-and-control). En este caso, Android.Backdoor.114.origin puede tomar y enviar detalles sobre los siguientes apartados a sus propietarios:
– El identificador único del dispositivo infectado
– Dirección MAC del adaptador de Bluetooth
– Tipo de dispositivo infectado (teléfono o tablet)
– Parámetros del archivo de configuración
– Dirección MAC
– IMSI
– Versión maliciosa de la aplicación
– Versión del sistema operativo
– Versión del API del dispositivo
– Tipo de conexión de red
– Nombre del paquete de aplicación
– Identidad del país
– Resolución de la pantalla
– Fabricante del dispositivo
– Nombre del modelo
– Espacio de la tarjeta SD ocupado y disponible
– Espacio ocupado y disponible de la memoria interna del teléfono
– Lista de aplicaciones instaladas en la carpeta del sistema
– Lista de aplicaciones instaladas para el usuario
Una vez esta información llega al C&C, los atacantes pueden enviar comandos, basados en los datos recibidos, para llevar a cabo ataques específicos hacia la configuración del usuario. Lo que está claro es que tener el troyano dentro del equipo es una puerta a que malware mucho más peligroso acabe entrando también.
La mayoría de las veces, estas instrucciones piden al dispositivo infectado que descargue otras aplicaciones que se pueden utilizar para servir a anuncios que no queremos o, mucho peor, para bloquear el dispositivo y encriptar sus archivos hasta que se pague un rescate. Puesto que el troyano viene preinstalado en una app, la única forma de eliminarlo del equipo es reinstalar una versión limpia del sistema operativo.
