Google confirma que la nueva variante de adware »Triada» vino preinstalada en algunos teléfonos Android

Esta semana Google detalló un caso en el cual piratas informáticos instalaron un adware en dispositivos Android, esto al manipular el software preinstalado.

Los »hackers» se hicieron pasar por un proveedor de software que, según los fabricantes de teléfonos, les ayudaría a agregar características al sistema operativo Android estándar.

«En ocasiones, los OEM (fabricantes de equipos originales) desean incluir funciones que no forman parte del proyecto de código abierto de Android, como el desbloqueo facial», dijo el ingeniero de seguridad de Google Lukasz Siewierski en una publicación el jueves. «El OEM podría asociarse con un tercero que pueda desarrollar la función deseada y enviar toda la imagen del sistema a ese proveedor para su desarrollo».

Esas características deseadas, sin embargo, venían con una variante del adware conocido como Triada.

Google no ha revelado qué modelos de productos se vieron afectados. Pero los piratas informáticos parecen usar con frecuencia el idioma chino, y usaban el nombre del vendedor «Yehuo» o «Blazefire».

«El caso Triada es un buen ejemplo de cómo los autores de malware para Android se están volviendo más adeptos», escribió Siewierski.

Google dice que se coordinó con los productos afectados para enviar actualizaciones de software, lo que eliminó el adware. En 2018, «Google identificó todas las variantes de Triada, incluidas las nuevas, y todos los dispositivos infectados con Triada», dijo la compañía en marzo.

Pero el jueves, la agencia de seguridad de la información de Alemania advirtió sobre el software malicioso basado en firmware que circula en varios modelos de teléfonos inteligentes con Android, incluido el Doogee BL7000, el M Horse Pure 1 y el Keecoo P11. No está claro si los teléfonos se vieron afectados por el mismo software publicitario Triada o una familia de malware diferente. Pero las autoridades alemanas han detectado más de 20,000 dispositivos afectados solo en el país.

En el caso de Triada, los piratas informáticos ocultaron el adware, que era capaz de comunicarse con un servidor de comando y control en Internet, en las imágenes del sistema como una puerta trasera. Luego, los misteriosos culpables aprovecharon la puerta trasera para instalar aplicaciones no deseadas en los dispositivos afectados para mostrar anuncios.

Triada se remonta a 2016 cuando la empresa de seguridad Kaspersky Lab destacó el software malicioso que se hizo pasar por aplicaciones legítimas. Una vez instalado, obtuvo acceso de root a un teléfono y modificó los mensajes SMS y los datos en ciertos navegadores móviles de China.

En respuesta, Google agregó protecciones a Android para detectar y bloquear Triada. Pero los hackers detrás de esto se adaptaron rápidamente. En 2017, la firma de seguridad Dr. Web notó el programa Triada dentro del firmware de varios dispositivos Android desconocidos, incluidos Leagoo M5 Plus, Leagoo M8, Nomu S10 y Nomu S20.

En 2018, la empresa de seguridad Avast también descubrió piratas informáticos que distribuían adware a dispositivos Android menos conocidos a través del firmware. Más de 140 modelos de productos, muchos de ellos tabletas, se vieron afectados.

«Esto resalta la necesidad de revisiones exhaustivas de seguridad de las imágenes del sistema antes de que el dispositivo se venda a los usuarios y cada vez que se actualicen por aire», dijo Siewierski esta semana.