Los casos de dispositivos móviles con malware preinstalado no dejan de aumentar y ya son muchos los casos registrados tras el primero que afectó a algunos equipos del fabricante Xiaomi. En esta ocasión han sido los equipos Oysters T104 HVi 3G los que se han visto afectados por este tipo de prácticas que cada vez son más comunes.
El virus se detectó a principios de este mismo mes distribuyéndose haciendo uso de páginas web. Sin embargo, ahora los ciberdelincuentes han tomado la decisión de preinstalarlo en el modelo de este fabricante y ahora de nuevo muchos se hacen las mismas preguntas: ¿Quién ha realizado su instalación y en qué momento?. Y es que si hablamos de fabricantes chinos son muchos los que sufren problemas en las cadenas de montaje, momento en el que se lleva a cabo la instalación de este tipo de software. Incluso en algunos casos se ha llegado a acusar a los distribuidores de este tipo de equipos de la instalación de virus informáticos.
Android.Backdoor.114.origin es la puerta trasera que se ha utilizado en esta ocasión y que se encuentra adjunta al código fuente de una aplicación muy común la gran mayoría de terminales Android: la barra de búsqueda rápida de Google.
Es decir, la aplicación GoogleQuickSearchBox.apk posee el código del virus, evitando de esta forma que el usuario pueda sospechar por la aparición de software desconocidos en el Gestor de aplicaciones del terminal.
El malware preinstalado en los Oysters T104 HVi 3G recopila información
Tal y como suele ser habitual en estos casos, la instalación de este tipo de software se realiza para espiar a los usuarios y recopilar información del terminal y contenida en este. Después de realizar un análisis de la amenaza esta es alguna de la información que se envía a un servidor remoto:
- Identificador del dispositivo
- Dirección MAC del adaptador Bluetooth
- Tipo de dispositivo
- Archivos de configuración
- Dirección MAC
- Versión de la aplicación infectada
- Versión del sistema operativo
- Tipo de conexión a Internet
- País
- Resolución de pantalla
- Fabricante
- Modelo
- Espacio disponible en la SD
- Listado de aplicaciones instaladas
Puente para la llegada de otros malware
El problema con el que se pueden encontrar los usuarios de estos dispositivos es que toda la información recopilada y que hemos mencionado con anterioridad sirve para descargar más virus de forma personalizada. A diferencia del que nos ocupa que se encuentra incrustado en una aplicación legítima y por lo tanto resulta complicado de detectar, los nuevos aparecerían como aplicaciones corrientes y se podría llevar a cabo su desinstalación.
Para solucionar el problema podemos realizar el borrado de la app de Google modificada y descargar la legítima libre de puertas traseras.
Fuente | Softpedia