¿Cómo malware entrar en nuestros dispositivos? Normalmente, proviene de descargas sospechosas. Estamos hablando de archivos adjuntos de correo electrónico de remitentes desconocidos o de descargar APK de sitios web sospechosos. ¿Pero viene el firmware preinstalado incluso antes de que los dispositivos salgan a la venta? Esto es raro, pero también es una realidad desafortunada, según investigadores que descubrieron un Androide puerta trasera llamada Keenadu.
Los investigadores descubren una puerta trasera de Android preinstalada en el firmware
Los investigadores de Kaspersky han descubierto recientemente una puerta trasera de Android llamada Keenadu. Ahora bien, este tipo de puertas traseras no son exactamente nuevas. Sin embargo, lo que hace que sus hallazgos sean inquietantes y preocupantes es cómo se insertó el malware en el proceso de creación del firmware del dispositivo. Esto significa que los teléfonos ya han sido infectados antes de llegar a los usuarios.
Imagínese comprar un teléfono o una tableta nuevos y descubrir que contiene malware que podría dar a los atacantes acceso a su dispositivo en el momento en que lo enciende. El los investigadores dicen«La infección se produjo durante la fase de compilación del firmware, donde se vinculó una biblioteca estática maliciosa con libandroid_runtime.so. Una vez activo en el dispositivo, el malware se inyectó en el proceso Zygote, de manera similar a [the Triada backdoor]. En varios casos, el firmware comprometido se entregó con una actualización OTA”.
También sugieren que esto sucedió debido a un compromiso en la cadena de suministro. «Una etapa de la cadena de suministro de firmware se vio comprometida, lo que llevó a la inclusión de una dependencia maliciosa dentro del código fuente. En consecuencia, es posible que los proveedores no supieran que sus dispositivos estaban infectados antes de llegar al mercado».
Hasta la fecha, los investigadores confirman que alrededor de 13.000 dispositivos han sido infectados. No revelaron qué marcas o modelos se ven afectados, pero se notificó a los proveedores. Con suerte, ya están trabajando en una solución para implementar actualizaciones de firmware limpias.
La respuesta de Google
Entonces, ¿qué puedes hacer si tienes un dispositivo infectado con la puerta trasera de Keenadu para Android? Bueno, resulta que quizás no necesites hacer nada. Siempre que su dispositivo tenga la certificación Play Protected, aparentemente debería estar protegido contra ella.
Esto es según una declaración que Google envió a la Autoridad de Android. El portavoz de Google fue citado diciendo: «Los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware mediante Google Play Protect, que está activado de forma predeterminada en dispositivos Android con servicios de Google Play. Google Play Protect puede advertir a los usuarios y deshabilitar aplicaciones que se sabe que exhiben un comportamiento asociado a Keenadu, incluso cuando esas aplicaciones provienen de fuentes fuera de Play. Como mejor práctica de seguridad, recomendamos a los usuarios asegurarse de que su dispositivo esté certificado por Play Protect».
Fuente: Android Headlines