Google AndroidSeguridad

Malware Keenadu infecta firmware de tablets Android de varias marcas

hace 2 días

Los investigadores de seguridad de Kaspersky han dado a conocer el descubrimiento de un nuevo backdoor para Android que representa una amenaza particularmente preocupante por su naturaleza: se encuentra integrado directamente en el firmware de los dispositivos.

Este malware, bautizado como Keenadu, fue identificado durante una investigación sobre amenazas previas en el ecosistema Android y todo apunta a que su inserción ocurrió durante el proceso de construcción del firmware, mucho antes de que los equipos llegaran a manos de los usuarios finales.

Un compromiso desde la raíz del sistema

El equipo de investigación explicó que el código malicioso fue localizado en el firmware de tablets basadas en Android pertenecientes a varias marcas. Según los detalles técnicos compartidos, la infección se produjo durante la fase de compilación del firmware, donde una librería estática maliciosa fue vinculada con libandroid_runtime.so.

Una vez activo en el dispositivo, el malware se inyecta en el proceso Zygote, de manera similar a como lo hacía el conocido backdoor Triada. En varios casos documentados, el firmware comprometido fue distribuido mediante actualizaciones OTA, lo que amplificó considerablemente su alcance.

Lo más preocupante es que una copia del backdoor se carga en el espacio de memoria de cada aplicación al momento de su lanzamiento. Esto convierte a Keenadu en un cargador de múltiples etapas que otorga a sus operadores la capacidad irrestricta de controlar remotamente el dispositivo de la víctima.

Los investigadores lograron interceptar módulos descargados por el backdoor y descubrieron que estos podían redirigir búsquedas del navegador, rastrear instalaciones de aplicaciones con fines lucrativos e interactuar con elementos publicitarios.

Algunos payloads también fueron encontrados ocultos dentro de apps distribuidas a través de tiendas de terceros e incluso en marketplaces oficiales como Google Play.

El rastro de la infección

Los investigadores rastrearon uno de los caminos de infección hasta imágenes de firmware disponibles públicamente para las tablets Alldocube iPlay 50 mini Pro. Cada versión analizada, incluyendo aquellas lanzadas después de que el fabricante reconociera reportes de malware, aún contenía el backdoor.

A decir verdad, todos los archivos de firmware analizados portaban firmas digitales válidas, lo que sugiere que los atacantes no simplemente alteraron las actualizaciones de manera burda. En cambio, los investigadores concluyeron que existe una alta probabilidad de que el troyano fuera integrado al firmware durante la fase de construcción.

La evidencia apunta claramente a un compromiso en la cadena de suministro. Según los expertos de Kaspersky, una etapa del proceso de suministro de firmware fue comprometida, lo que llevó a la inclusión de una dependencia maliciosa dentro del código fuente.

Como consecuencia, es muy probable que los fabricantes no hayan estado al tanto de que sus dispositivos estaban infectados antes de llegar al mercado.

Cabe destacar que, además de las tablets Alldocube, el malware Keenadu también fue descubierto en varias aplicaciones del sistema en el firmware de diversos dispositivos, en versiones troyanizadas de apps populares distribuidas principalmente a través de fuentes no oficiales, y en varias aplicaciones encontradas en la tienda GetApps de Xiaomi.

Alcance global y recomendaciones

De acuerdo con la telemetría de Kaspersky, un total de 13,715 usuarios en todo el mundo han encontrado Keenadu o sus módulos. Las soluciones de seguridad de la compañía registraron el mayor número de usuarios atacados en Rusia, Japón, Alemania, Brasil y los Países Bajos.

Los investigadores vincularon la amenaza Keenadu con otras familias importantes de botnets para Android, incluyendo Triada, BadBox y Vo1d, lo que sugiere una operación coordinada o al menos conexiones entre distintos grupos de ciberdelincuentes.

Los fabricantes afectados han sido notificados y probablemente están trabajando en el despliegue de actualizaciones de firmware limpias. Lamentablemente, Kaspersky no identificó públicamente a todos los fabricantes involucrados, más allá de Alldocube.

Se ha recomendado a los usuarios verificar la disponibilidad de actualizaciones de software e implementarlas tan pronto como sea posible. Hasta entonces, los investigadores sugieren no utilizar los dispositivos infectados si es posible evitarlo.

Opciones de mitigación limitadas

En cuanto a las aplicaciones del sistema infectadas, eliminarlas resulta imposible debido a que están ubicadas en la partición del sistema, aunque pueden ser reemplazadas o deshabilitadas si no son necesarias. Por otro lado, las aplicaciones de otros tipos sí pueden ser desinstaladas.

Sin embargo, el verdadero problema radica en que el backdoor está integrado a nivel de firmware, lo que hace que la solución definitiva dependa de que los fabricantes proporcionen actualizaciones limpias y verificadas.

Sin lugar a dudas, este descubrimiento subraya la importancia crítica de la seguridad en la cadena de suministro de dispositivos electrónicos.

Para los usuarios, la lección es clara: adquirir dispositivos de fabricantes reconocidos con historial comprobado en seguridad, mantener siempre actualizado el software y ser extremadamente cautelosos con las fuentes de descarga de aplicaciones.

Fuente: Kaspersky

Etiquetas
hace 2 días

Artículos relacionados

DNS bajo ataque, una campaña global usa Aeza para desviar tráfico desde routers antiguos

hace 16 horas

Google presenta el nuevo Pixel 10a por $499 dólares, preventa a partir del 5 de marzo

hace 1 día

nubia V80 Max llega a México, resistencia extrema y autonomía sin límites

hace 2 días

Xiaomi revela lista completa de dispositivos elegibles para HyperOS 4.0 con Android 17

hace 2 días
Botón volver arriba
PasionMóvil
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible.

La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudarnos a comprender qué secciones de la web encuentras más interesantes y útiles.

Nunca almacenamos información personal.

Tienes toda la información sobre privacidad, derechos legales y cookies en nuestra página de privacidad y cookies.