Imagina que te piratean el móvil. Pero no por una app chunga que no debiste bajar o un falso mensaje de WhatsApp al que hiciste caso, no, sino que te han hackeado el smartphone antes siquiera que te lo compraras, directamente de la cadena de montaje. Así ha sido la operación cibercriminal BadBox, que ha contaminado más de 70.000 móviles Android, iOS, TVs y tablets por toda China con el malware Triada.
Un malware que, a diferencia de otros, no puedes eliminar, ya que se encuentra instalado en la partición del firmware directamente. Así ha sido la operación PEACHPIT, llevada a cabo entre la agencia de ciberseguridad Human Security que expuso el fraude, y los gigantes Google y Apple.
El malware Triada
Descubierto en 2016, Triada es un malware en forma de troyano modular que reside en la memoria RAM de un dispositivo, aprovechando los privilegios de 'root' para alterar los archivos del sistema y realizar diversas actividades maliciosas. Y Triada ha sido precisamente el malware usado en una enorme operación fraudulenta.
La compañía norteamericana de ciberseguridad Human Security ha sacado a la luz un importante método de monetización empleado por una sofisticada operación de ciberdelincuencia. Esta operación consistía en "la venta de dispositivos móviles y CTV (Tv conectada) Android sin marca a través de los principales minoristas, que procedían de fábricas de reempaquetado de China".
El esquema, conocido como BADBOX, despliega el malware Triada como una "puerta trasera" en varios dispositivos como cajas CTV, teléfonos inteligentes y tabletas durante el proceso de la cadena de suministro en China. Pero BADBOX solo era una parte de un problema mayor, siendo la otra una operación fraudulenta llamada Peachpit.
Infectando a los móviles en la cadena de montaje
En enero pasado, el investigador de seguridad Daniel Milisic identificó una amenaza inesperada relacionada con el uso de un popular dispositivo de transmisión basado en Android TV, el T95. Sin que él lo supiera, el dispositivo estaba infectado con malware directamente de fábrica, pero los hallazgos posteriores destacaron que el T95 era solo uno más en una vasta red de dispositivos afectados.
El equipo interno de inteligencia e investigación de amenazas Satori de Human Security descubrió que la infección afectaba a más de 74.000 teléfonos móviles, tabletas y cajas CTV basados en Android, que mostraban signos de infección. El malware, vinculado al troyano Triada, se instala en dispositivos durante una etapa no especificada de la cadena de producción en China. Tan pronto como se enciende el dispositivo, el malware contacta con un comando y control (C2) en China, "iniciando así una serie de operaciones poco claras". Todo esto sucede sin el conocimiento del usuario final, que simplemente espera usar el dispositivo para transmitir su contenido favorito.
Los dispositivos infectados pueden:
- Robar información de identificación personal (PII)
- Crear cuentas falsas de mensajería y correo electrónico
- Ejecutar actividades fraudulentas diversas.
Un problema que no desaparece restaurando el móvil
El problema es que, a diferencia de la mayoría de malwares, el troyano Triada no se puede eliminar con un reseteo del móvil o tablet a valores de fábrica. El motivo es que incluso después de un restablecimiento de fábrica, los dispositivos infectados por BADBOX siguen estando en peligro, ya que el malware se conecta a un servidor de mando y control (C2) en el primer arranque y se incrusta en la RAM.
Por tanto, según Human Security, la capacidad de BADBOX para infiltrarse en dispositivos vendidos por plataformas de comercio electrónico y minoristas de confianza lo hace especialmente peligroso. Como apunta el jefe de seguridad de la información de Human Security, Gavin Reid: "Esta operación de puerta trasera es engañosa y peligrosa porque es casi imposible que los usuarios sepan si sus dispositivos están comprometidos".
De todos los dispositivos que Human adquirió a minoristas de forma online para analizarlos, "el 80% estaban infectados con BADBOX, lo que demuestra su amplia difusión en el mercado". Estos dispositivos, a menudo vendidos en línea o en tiendas físicas a precios bajos, actúan como una especie de "navaja suiza", realizando una amplia gama de actividades fraudulentas y delictivas.
Desde el fraude publicitario hasta la creación de cuentas falsas de Gmail y WhatsApp, las capacidades maliciosas de estos dispositivos son variadas. El acceso a las redes domésticas también se está vendiendo, y los delincuentes afirman tener acceso a más de 10 millones de direcciones IP domésticas y 7 millones de direcciones IP móviles.
Operación PEACHPIT
Por si esto no fuese suficiente, en noviembre de 2022 el equipo Satori de Human descubrió un "módulo de fraude publicitario" dentro de BADBOX, anuncios ocultos y clics falsos que defraudaban a los anunciantes. También identificaron un grupo de aplicaciones Android, iOS y CTV, conocidas como PEACHPIT, que realizaban fraudes publicitarios similares de forma independiente a BADBOX.
Human Security trabajó con los gigantes tecnológicos Google y Apple para desbaratar la operación PEACHPIT, compartiendo información con las fuerzas de seguridad.
Las apps Android e iOS afectadas en la operación Peachpit
¿Mi móvil Xiaomi está infectado? No debería por venir de una fuente de confianza
A pesar de la acción proactiva de las empresas de seguridad y las autoridades, las amenazas no se eliminan por completo. Los dispositivos comprometidos todavía están en los hogares de las personas y en su red. Y aunque supieras que tu terminal, tablet o caja de TV conectada está infectada, te costaría mucho borrarlo por estar incrustado en la RAM. Por ello, el mejor consejo es optar por dispositivos de marca, donde el fabricante sea claro y confiable, y no baratos que en algunos casos ni siquiera tienen certificación de Google.
Si tu móvil es por ejemplo Xiaomi, no deberías tener problemas de infección por Badbox puesto que todos los terminales de la marca cumplen con los requisitos de Android establecidos por Google:
"Los dispositivos de otras marcas que se descubrieron infectados por BADBOX no eran dispositivos Android con certificación Play Protect. Si un dispositivo no está certificado por Play Protect, Google no tiene un registro de los resultados de las pruebas de seguridad y compatibilidad", dijo un portavoz de Google al medio Infosecurity en un correo electrónico.
"Los dispositivos Android certificados por Play Protect se someten a pruebas exhaustivas para garantizar la calidad y la seguridad de los usuarios. Para ayudarle a confirmar si un dispositivo está construido con Android TV OS y certificado por Play Protect, nuestro sitio web de Android TV proporciona la lista más actualizada de socios. También puedes seguir estos pasos para comprobar si tu dispositivo tiene la certificación Play Protect".
Vía | Human Security / InfoSecurity
En Mundo Xiaomi | Xiaomi está destrozando registros con los Xiaomi 14: los primeros teléfonos con HyperOS han multiplicado por seis las ventas de los Xiaomi 13
Ver 0 comentarios