Google confirma que algunos smartphones venían con malware preinstalado de fábrica

En 2017, unos delincuentes lograron preinstalar una puerta trasera avanzada en ciertos dispositivos Android antes de que salieran de las fábricas, según han confirmado unos investigadores de Google.

La puerta trasera llamada Triada salió a la luz por primera vez en 2016 en artículos publicados por Kaspersky donde afirmaba que el malware era «uno de los troyanos para móviles más avanzados».

Una vez instalado, el objetivo de Triada era permitir la instalación de aplicaciones que pudieran ser utilizadas para enviar spam y mostrar anuncios en pantalla. Para ello, se conectaba conectada a nada menos que 17 servidores de mando y control.

En julio de 2017, la empresa de seguridad Dr. Web informó que sus investigadores habían encontrado Triada integrado en el firmware de varios dispositivos Android, incluyendo el Leagoo M5 Plus, Leagoo M8, Nomu S10 y Nomu S20.

Los atacantes usaron la puerta trasera para descargar e instalar módulos. La puerta trasera también inyectaba código que le permitía utilizar la aplicación Google Play para descargar e instalar aplicaciones a elección de los atacantes.

Debido a que la puerta trasera estaba incrustada en una de las bibliotecas del sistema operativo y ubicada en la sección del sistema, no se podía eliminar con métodos estándar.

Ahora Google ha confirmado el informe del Dr. Web, aunque sin llegar a nombrar a los fabricantes. El informe también dice que el ataque fue llevado a cabo por uno o más socios que los fabricantes utilizaban para preparar de la imagen final del firmware de los dispositivos afectados:

Triada infecta las imágenes del sistema del dispositivo a través de un tercero durante el proceso de producción. A veces los fabricantes de equipos originales desean incluir funciones que no forman parte del proyecto Android Open Source Project, como el desbloqueo facial. El OEM puede asociarse con un tercero que pueda desarrollar la característica deseada y enviar la imagen completa del sistema a ese proveedor para su desarrollo.