Malware inamovible encontrado preinstalado en teléfonos inteligentes de gama baja vendidos en los EE. UU.


umx-phone-glitched.png

Los teléfonos inteligentes de gama baja vendidos a estadounidenses con bajos ingresos a través de un programa subsidiado por el gobierno contienen malware inamovible, dijo hoy la firma de seguridad Malware bytes en un informe.

El modelo de teléfono inteligente es Unimax (UMX) U686CL, un teléfono inteligente de gama baja basado en Android fabricado en China y vendido por Aseguramiento inalámbrico, un proveedor de servicios de telefonía celular que forma parte del grupo Virgin Mobile.

La compañía vende teléfonos celulares, parte de Línea de vida, un programa gubernamental que subsidia el servicio telefónico para estadounidenses de bajos ingresos.

«A fines de 2019, vimos varias quejas en nuestro sistema de soporte de usuarios con un teléfono emitido por el gobierno que informaba que algunas de sus aplicaciones preinstaladas eran maliciosas», dijo Malwarebytes en un informe publicado hoy.

La compañía dijo que compró un teléfono inteligente UMX U686CL y lo analizó para confirmar los informes que estaba recibiendo.

Adups puerta trasera

Para empezar, Malwarebytes dijo que descubrió que uno de los componentes del teléfono, una aplicación llamada Wi-fi Update, contenía el malware Adups.

los Adups malware fue descubierto en 2017 por Kryptowire, y es un componente de firmware malicioso creado por una compañía china del mismo nombre.

Adups proporciona el componente como un sistema de actualización de firmware por aire (FOTA) a varios fabricantes de teléfonos inteligentes y proveedores de firmware.

Se supone que el componente permite a los proveedores de firmware una forma de actualizar su código, pero en 2017 el equipo de Kryptowire descubrió que Adups (la compañía) también tenía la capacidad de enviar actualizaciones a los teléfonos de los usuarios, evitando a los vendedores de teléfonos inteligentes y a los usuarios por igual.

Malwarebytes dice que este componente estaba actualmente en uso en dispositivos UMX y se estaba utilizando para instalar aplicaciones sin el conocimiento del usuario. Por quien no queda claro.

«Desde el momento en que inicia sesión en el dispositivo móvil (el UMX U686CL), Wi-fi Update inicia la instalación automática de aplicaciones», dijo el equipo de Malwarebytes. «Para repetir: no se ha obtenido el consentimiento del usuario para hacerlo, no hay botones para hacer clic para aceptar las instalaciones,
solo instala aplicaciones por su cuenta.

«Si bien las aplicaciones que instala están inicialmente limpias y libres de malware, es
Es importante tener en cuenta que estas aplicaciones se agregan al dispositivo con cero notificaciones o permisos requeridos por el usuario. Esto abre la posibilidad de instalar malware sin saberlo en una futura actualización de cualquiera de las aplicaciones agregadas por Wi-fi Update en cualquier momento «.

Cuentagotas conduce a adware

Pero Malwarebytes dijo que hay un segundo componente peligroso incluido en estos teléfonos. Los investigadores dijeron que también encontraron código sospechoso en la aplicación de configuración del teléfono.

La aplicación, dice Malwarebytes, estaba contaminada con lo que parecía ser una variedad de malware muy ofuscado, que se cree que es de origen chino, debido al uso intensivo de caracteres chinos como nombres variables.

Los investigadores de seguridad dijeron que este malware estaba codificado para funcionar como un gotero para una carga útil de malware de segunda etapa, una cepa de adware conocida como Anuncios ocultos.

«Aunque todavía tenemos que reproducir la caída de malware adicional, nuestros usuarios han informado que, de hecho, una variante de HiddenAds se instala repentinamente en su dispositivo móvil UMX», dijo Malwarebytes.

Inamovible

Los investigadores de Malwarebytes dijeron que no podían confirmar que Unimax fue la parte que agregó el malware a los dispositivos.

Este podría ser otro caso en el que el malware fue agregado a dispositivos por terceros involucrados en la cadena de suministro de un teléfono inteligente, mientras que los dispositivos viajan del fabricante del teléfono a un comprador.

Malwarebytes dijo que si bien el dispositivo «no es un teléfono malo», la presencia de las dos aplicaciones infectadas con malware hace que el teléfono inteligente sea inútil e incluso peligroso para sus usuarios.

Para empeorar las cosas, las dos aplicaciones maliciosas son inamovibles.

Si bien los usuarios podrían deshabilitar y desinstalar la aplicación Wi-fi Update, esto provocaría que el teléfono se perdiera actualizaciones críticas de seguridad para sus componentes de firmware, lo que efectivamente hace que la aplicación no se pueda quitar, al menos si desea mantener su dispositivo actualizado.

Por otro lado, la aplicación Configuración no se puede quitar en el significado true de la palabra, ya que no hay forma de eliminar la aplicación, e incluso si lo hiciera, no podría administrar su teléfono después.

Malwarebytes dice que informó a Assurance Wi-fi de sus hallazgos, pero nunca tuvo noticias de la compañía. Tampoco se devolvió una solicitud de comentarios enviada por ZDNet hace dos días.



Enlace a la noticia first