Investigadores de seguridad han descubierto casi 3 decenas de modelos de smartphones que vienen infectados de fábrica con programas maliciosos que exponen a los usuarios a descargas de adware y pueden hacer llamadas sin autorización.
Los expertos de la compañía de seguridad informática Dr. Web han dado la voz de alarma sobre 28 modelos de teléfonos con firmware peligroso que esconden troyanos en sus catálogos del sistema. Uno de los troyanos, que afecta a 26 de estos modelos, se identificó como Android.DownLoader.473.origin y se especializa en descargar otros programas en el teléfono, en particular programas publicitarios (adware).
El troyano se activa cuando se enciende el dispositivo por primera vez y espera a que establezca una conexión a Internet para recibir instrucciones de su servidor de comando y control. El programa también descarga sin autorización la aplicación H5GameCenter, que viene equipada con un potente programa publicitario.
La aplicación publicitaria superpone su propia ventana con una imagen pequeña sobre cualquier otra aplicación que se esté ejecutando. Al pulsar en ella, se abre un catálogo que viene integrado en el programa publicitario. Si el usuario elimina la aplicación, el troyano la vuelve a descargar e instalar sin consentimiento la próxima vez que detecte una conexión a Internet.
Todos los teléfonos afectados funcionan con Android y operan con una plataforma móvil de la compañía MediaTek. Sin embargo, Dr. Web no cree que ninguna de estas compañías sea la responsable directa de la amenaza. Más bien cree que empleados subcontratados para el desarrollo de las imágenes del firmware de Android son quienes instalaron la amenaza por su propia cuenta.
Los investigadores también encontraron otro troyano, Android.Sprovider.7, escondido en una aplicación llamada Rambla que viene instalada de fábrica en los modelos de teléfono Lenovo A319 y Lenovo A6000. El programa malicioso permite a los atacantes que descarguen e instalen archivos APK sin autorización de los usuarios, hagan llamadas, suban archivos infectados, muestren publicidades maliciosas y abran enlaces peligrosos en el navegador.
“Se sabe que los cibercriminales generan ingresos aumentando sus estadísticas de descarga y distribuyendo programas maliciosos publicitarios”, dice el informe de Dr. Web. “Por lo tanto, empleados deshonestos subcontratados (…) incorporaron (los troyanos) en el firmware de Android porque decidieron comenzar a lucrar a costa de los usuarios”.
Los teléfonos infectados con Android.DownLoader.473.origin son: MegaFon Login 4 LTE, Irbis TZ85, Irbis TX97, Irbis TZ43, Bravis NB85, Bravis NB105, SUPRA M72KG, SUPRA M729G, SUPRA V2N10, Pixus Touch 7.85 3G, Itell K3300, General Satellite GS700, Digma Plane 9.7 3G, Nomi C07000, Prestigio MultiPad Wize 3021 3G, Prestigio MultiPad PMT5001 3G, Optima 10.1 3G TT1040MG, Marshal ME-711, 7 MID, Explay Imperium 8, Perfeo 9032_3G, Ritmix RMD-1121, Oysters T72HM 3G.
Fuentes
28 modelos de smartphones se distribuyen con firmware infectado