Los investigadores de TedMicro han alertado de la existencia de teléfonos móviles Android que llegan al usuario preinfectados, fruto de una campaña que aprovecha la distribución global de estos dispositivos para acceder a datos que posteriormente venden a anunciantes.
El malware Triada se identificó en 2016 como un troyano para Android que instalaba aplicaciones adicionales en los dispositivos, para funciones de ‘spam’ y engañar a las estadísticas. Posteriormente, mutó y se convirtió en una puerta trasera Android.
Esta nueva versión de Triada permitió que introdujera en la cadena de producción de algunos modelos de móviles, de manera que estos llegaban al mercado ya afectados por una puerta trasera que permitía infectar el dispositivo, como explicó Google en 2019.
A partir de esta investigación, TrendMicro ha descubierto una ‘botnet’ potenciada por ataques que comprometieron la cadena de suministro móvil, vinculada a un actor malicioso que han identificado como Lemon Group, y que usa el ‘malware’ guerrilla. Este, en algún momento, ha trabajado junto con los responsables de Triada.
La amenaza que protagoniza Lemon Group, firma vinculada a los negocios de Big Data, infecta los smartphones con Guerrilla, de tal forma que instala en ellos una puerta trasera que permite la comunicación con un servidor remoto desde el que se comprueba si existen actualizaciones maliciosas por instalar.
Son precisamente estas actualizaciones las que recogen datos de la actividad del usuario, que luego Lemon Group vende con fines publicitarios, como explican desde TrendMicro en su blog.
Según estimas, los móviles afectados se han distribuido en más de 180 países y pertenecen a distintas marcas que utilizan Android como sistema operativo. Estiman que el número asciende a 8,9 millones, el 3,85 % en Europa, aunque la mayor parte se han determinado en Asia (55,26 %).
Los investigadores han apuntado a que este esquema se ha extendido a otros dispositivos del Internet de las Cosas (loT), como los equipos Android TV. En este sentido, una investigación compartida por TechCrunch ha desvelado que algunos dispositivos de ‘streaming’ Andorid TV se han comercializado en Amazon con ‘malware’ precargado, capaz de lanzar ataques coordinados.
Descubren un malware disfrazado de aplicaciones de Android populares
Una nueva variedad de malware, llamada FluHorse fue detectada por la firma Check Point Research (CPR). Opera a través de un conjunto de aplicaciones maliciosas de Android, cada una de las cuales imita una aplicación popular y legítima con más de 100.000 instalaciones.
Estas aplicaciones maliciosas están diseñadas para extraer información confidencial, incluidas las credenciales de usuario y los códigos de autenticación de dos factores (2FA).
La autenticación de dos factores (2FA) puede mejorar la seguridad de cualquier equipo que use un servicio en línea o acceda a recursos corporativos.
Básicamente, requiere que el usuario proporcione dos tipos diferentes de información para autenticar o probar que es quien dice ser antes de que se le conceda el acceso.
De igual forma, FluHorse se dirige a varios sectores y, por lo general, se distribuye por correo electrónico. En algunos casos, entidades de alto perfil, como funcionarios gubernamentales, fueron el objetivo de las etapas iniciales del ataque de correo electrónico de phishing.
Dicho malware llega cuando la región de Asia-Pacífico, por ejemplo, está experimentando un gran aumento en los ataques cibernéticos: en el primer trimestre de 2023, la organización promedio fue atacada 1835 veces por semana, según Check Point Research. Este es un aumento del 16% con respecto al primer trimestre de 2022.
Uno de los aspectos más preocupantes es su capacidad para pasar desapercibido durante largos períodos de tiempo, lo que lo convierte en una amenaza persistente y peligrosa que es difícil de identificar.
Las empresas y personas afectadas deben permanecer alerta y tomar medidas para protegerse contra este nuevo malware y potencialmente devastador.
Con información de Europa Press.