Alertan de la existencia de unos 8,9 millones de celulares Android con malware preinstalado

Los investigadores de TrendMicro han alertado de la existencia de smartphones Android que llegan al usuario preinfectados, fruto de una campaña que aprovecha la distribución global de estos dispositivos para acceder a datos que posteriormente venden a anunciantes.

El malware Triada se identificó en 2016 como un troyano para Android que instalaba aplicaciones adicionales en los dispositivos, para funciones de spam y engañar a las estadísticas. Posteriormente, mutó y se convirtió en una puerta trasera de Android.

MIRA: El 60% de las organizaciones tarda más de cuatro días en resolver los problemas de ciberseguridad en la nube

Esta nueva versión de Triada permitió que se introdujera en la cadena de producción de algunos modelos de móviles, de manera que estos llegaban al mercado ya afectados por una puerta trasera que permitía infectar el dispositivo, como explicó Google en 2019.

A partir de esta investigación, TrendMicro ha descubierto una ‘botnet’ potenciada por ataques que comprometieron la cadena de suministro móvil, vinculada a un actor malicioso que han identificado como Lemon Group, y que usa el malware Guerrilla. Este, en algún momento, ha trabajado junto con los responsables de Triada.

La amenaza que protagoniza Lemon Group, firma vinculada a los negocios de Big Data, infecta los smartphones con Guerrilla, de tal forma que instala en ellos una puerta trasera que permite la comunicación con un servidor remoto desde el que se comprueba si existen actualizaciones maliciosas para instalar.

MIRA: Ciberseguridad: empresas pueden perder desde US$ 13 mil hasta más de US$ 5 millones por ataque

Son precisamente estas actualizaciones las que recogen datos de la actividad del usuario, que posteriormente Lemon Group vende con fines publicitarios, como explican desde TrendMicro en su blog.

Según estiman, los móviles afectados se han distribuido en más de 180 países y pertecen a distintas marcas que utilizan Android como sistema operativo. Estiman que el número asciende a 8,9 millones, el 3,85% en Europa, aunque la mayor parte se han determinado en Asia (55,26%).

Los investigadores han apuntado que este esquema se ha extendido a otros dispositivos del Internet de las Cosas (IoT), como los equipos Android TV. En este sentido, una investigación compartida por TechCrunch ha desvelado que algunos dispositivos de streaming Android TV se han comercializado en Amazon con malware precargado, capaz de lanzar ataques coordinados.