Encontrado malware oculto en el firmware de varios teléfonos inteligentes y tabletas Android de gama baja.
El malware que se utiliza para mostrar anuncios no deseados e instalar aplicaciones en los dispositivos de los usuarios desprevenidos.
Esta es la lista de los 26 modelos de dispositivos Android que se ven afectados:MegaFon Entrar 4 LTE, Irbis TZ85, Irbis TX97, Irbis TZ43, Bravis NB85, Bravis NB105, SUPRA M72KG, SUPRA M729G, SUPRA V2N10, Pixus Touch 7,85 3G, Itell K3300, general GS700 satélite, Digma Plano 9.7 3G, Nomi C07000, Prestigio MultiPad Wize 3021 3G, Prestigio MultiPad PMT5001 3G, Optima 10.1 3G TT1040MG, Mariscal ME-711, 7 MID, Explay Imperium 8, Perfeo 9032_3G, Ritmix RMD-1121, ostras T72HM 3G, Irbis tz70, Irbis tz56, Jeka JK103.
El vínculo común entre todos estos dispositivos es que todos son dispositivos de bajo costo, en su mayoría comercializados en Rusia, y que funciona con conjuntos de chips de MediaTek.
Revendedores de dispositivos sospechosos de añadir el malware
Según los investigadores de seguridad de Dr.Web, un proveedor de antivirus de Rusia, el malware parece haber sido añadido al firmware de estos dispositivos por empresas externas "deshonestos que tomaron parte en la creación de imágenes del sistema Android decidido hacer el dinero en los usuarios."
La firma de seguridad ha informado a MediaTek y el dispositivo de vendedores acerca de este problema por lo que las empresas afectadas pueden inspeccionar su cadena de distribución y encontrar los posibles culpables.
El malware utiliza aplicaciones agresivas y no deseadas
El malware encontrado en estos dispositivos con el nombre en código Android.DownLoader.473.origin. De acuerdo con Dr.Web, este malware recopilará datos sobre los dispositivos infectados, se pone en contacto con un servidor de C & C, y descargar e instala otras aplicaciones en base a las instrucciones que reciba de este servidor.
En la actualidad, este malware se descarga por la fuerza y la instalación de la aplicación H5GameCenter. Esta aplicación es un catálogo de aplicaciones como google play que permite a los usuarios instalar otras aplicaciones. La aplicación se considera extremadamente molesto porque muestra su icono (una caja azul abierto) flotando por encima de otras aplicaciones sin parar, como en la imagen de abajo, y sin una opción para desactivar este comportamiento.
Si los usuarios eliminar la aplicación H5GameCenter, el firmware de malware se vuelva a instalarlo en un momento posterior.
En noviembre, en el plazo de una semana, los investigadores de seguridad de Kryptowire y Anubis Redes encontraron puertas traseras en el firmware proporcionado por dos proveedores de software de China, Shanghai Adups Technology Co. Ltd. y el Grupo Ragentek.
El firmware proporcionado por estas dos empresas se había incrustado en un gran número de gama baja los teléfonos inteligentes Android y los atacantes concedido el control completo sobre los móviles afectados.
