Hay 42 modelos de Android economicos actualmente infectados con troyanos bancarios Triada que roban datos e interceptan chats de dispositivos específicos.
Los investigadores de seguridad de TI de la firma antivirus con sede en Rusia Dr.Web han identificado 42 dispositivos Android de bajo costo infectados con un peligroso troyano bancario descubierto por la empresa en julio de 2017. El malware apunta a robar datos personales y financieros del dispositivos objetivo.
Android.Triada.231
Apodado Android.Triada.231 por los investigadores, el malware tiene la capacidad de descargar complementos maliciosos que roban la credencial bancaria del usuario e interceptan los medios sociales y la comunicación de mensajería.
Además, el malware puede rootear dispositivos e infectar a Zygote, también conocido como el «proceso de la aplicación», que funciona como el padre de todos los procesos de aplicaciones de Android. Esto significa que a los usuarios específicos no les queda más remedio que volver a instalar el sistema operativo y perder sus datos personales en caso de que no haya una copia de seguridad.
«Una vez que los troyanos se inyectan en este módulo, penetran en otras aplicaciones en ejecución. Al hacerlo, obtienen la capacidad de llevar a cabo diversas actividades maliciosas sin la intervención del usuario: descargan y lanzan software de forma encubierta «, señalaron los investigadores del Dr. Web.
Previamente, el Dr. Web encontró el malware Triada en dispositivos Android de bajo costo Leagoo M8, Leagoo M5 Plus, Nomu S20 y Nomu S10. Sin embargo, ahora los investigadores han identificado a otros 42 fabricantes de Android cuyos teléfonos inteligentes han sido infectados por el malware, pero en ese momento los dispositivos venían con malware preinstalado.
«La característica clave de Android.Triada.231 es que los ciberdelincuentes inyectan este troyano en la biblioteca del sistema libandroid_runtime.so. No distribuyen el troyano como un programa separado. Como resultado, la aplicación maliciosa penetra en el firmware del dispositivo durante la fabricación. Los usuarios reciben sus dispositivos ya infectados desde la caja «.
En este caso, sin embargo, los investigadores analizaron a los proveedores objetivo y rastrearon al culpable. Una empresa de desarrollo de software en Shanghai, China y notaron que el malware fue penetrado en el firmware a pedido del socio de Leagoo, que resultó ser la misma empresa con sede en Shanghai.
Esta empresa (firma de desarrollo de software con sede en Shanghai) proporcionó a Leagoo una de sus aplicaciones para ser incluida en una imagen del sistema operativo móvil, así como también una instrucción para agregar código de terceros en las bibliotecas del sistema antes de su compilación. Desafortunadamente, esta solicitud polémica no evocó ninguna sospecha del fabricante. Finalmente, Android.Triada.231 llegó a los teléfonos inteligentes sin ningún obstáculo.
Lista de dispositivos infectados
Una lista compartida por el Dr. Web muestra las empresas y sus números de modelo que están actualmente infectados. Tenga en cuenta que esta no es una lista completa y los investigadores creen que la lista de dispositivos infectados podría ser mucho más grande.
- Leagoo M5
- Leagoo M5 Plus
- Leagoo M5 Edge
- Leagoo M8
- Leagoo M8 Pro
- Leagoo Z5C
- Leagoo T1 Plus
- Leagoo Z3C
- Leagoo Z1C
- Leagoo M9
- ARK Benefit M8
- Zopo Speed 7 Plus
- UHANS A101
- Doogee X5 Max
- Doogee X5 Max Pro
- Doogee Shoot 1
- Doogee Shoot 2
- Tecno W2
- Homtom HT16
- Umi London
- Kiano Elegance 5.1
- iLife Fivo Lite
- Mito A39
- Vertex Impress InTouch 4G
- Vertex Impress Genius
- myPhone Hammer Energy
- Advan S5E NXT
- Advan S4Z
- Advan i5E
- STF AERIAL PLUS
- STF JOY PRO
- Tesla SP6.2
- Cubot Rainbow
- EXTREMO 7
- Haier T51
- Cherry Mobile Flare S5
- Cherry Mobile Flare J2S
- Cherry Mobile Flare P1
- NOA H6
- Pelitt T1 PLUS
- Prestigio Grace M5 LTE
- BQ 5510
Actualmente, el malware está dirigido a usuarios en Rusia, China y otros países de Europa Central. Pero es solo cuestión de tiempo antes de que llegue a los usuarios de otros países que han estado usando dispositivos Android económicos. El Dr. Web afirma que su «Espacio de seguridad para la versión 12 de Android» protege los dispositivos Android contra amenazas como Triada.