Smartphones Android se vendieron con el malware Triada de fábrica

Un grupo desconocido de ciberdelincuentes logró instalar el malware Triada en smartphones Android antes de abandonar las fábricas de algunos fabricantes chinos, han confirmado investigadores de Google.

Triada es un malware de puerta trasera descubierto por Kaspersky en 2016 y definido como «uno de los troyanos móviles más avanzados» que los analistas de la firma de seguridad habían encontrado. Una vez instalado, el propósito principal de Triada era instalar aplicaciones que pudieran usarse para enviar spam y mostrar anuncios.

Empleó un impresionante conjunto de herramientas, que incluía ataques de rooting que evitaban las protecciones de seguridad incorporadas en Android y los medios para modificar el todopoderoso proceso Zygote del sistema. Eso significaba que el malware podía alterar directamente cada aplicación instalada. Triada también se conectó a no menos de 17 servidores de comando y control.

En julio de 2017, la firma de seguridad Dr. Web informó que sus investigadores encontraron que Triada estaba incorporada en el firmware de varios dispositivos Android , incluidos Leagoo M5 Plus, Leagoo M8, Nomu S10 y Nomu S20. Los atacantes utilizaron la puerta trasera para descargar e instalar módulos escondidos. Debido a que la puerta trasera estaba incorporada en una de las bibliotecas del sistema operativo y ubicada en la sección del sistema, no se pudo eliminar utilizando métodos estándar, según el informe.

Dos años después, Google ha confirmado la información aunque sin nombrar modelos y fabricantes. El malware se instaló mediante un ataque a la cadena de suministro en la imagen del firmware final utilizada en los dispositivos afectados.

El año pasado, Google implementó un programa que requiere que los fabricantes envíen imágenes de compilación nuevas o actualizadas para un conjunto de pruebas de compilación. «Una de estas pruebas de seguridad analiza las PHA preinstaladas [aplicaciones potencialmente dañinas] incluidas en la imagen del sistema».

«Si encontramos una PHA en la compilación, trabajamos con el socio OEM para remediar y eliminarla de la compilación antes de poder ofrecerla a los usuarios». Aún así, el informe reconoce que, a medida que Google refuerza la seguridad en un área, los atacantes seguramente se adaptarán explotando nuevas debilidades como ha sucedido con las variantes de Triada.

«Triada fue incluido por un vendedor procedente de China en la imagen del sistema como un código de terceros para funciones adicionales solicitadas por los fabricantes de dispositivos, infectando todo el proceso», explican. Si aumentar la seguridad en Android es obligatorio cuando está en manos del usuario, no digamos nada antes de salir de la fábrica donde debe existir un control exhaustivo que en el caso que nos ocupa no hubo.