Si bien adquirir un teléfono móvil a un precio económico en Estados Unidos puede resultar una gran ventaja, expertos señalan lo necesario que es asegurarse de que esta cualidad no sea reflejo de los bajos estándares de seguridad que ofrece su software.
La razón tras esta sugerencia radica en el descubrimiento realizado en enero por un grupo de investigadores de seguridad cibernética de Malwarebytes relacionado con un malware inamovible instalado en el sistema operativo Android de un dispositivo Unimax (UMX) U686CL de gama baja.
El equipo fue comercializado por la empresa Assurance Wireless como parte de Lifeline Assistance, un programa estadounidense instaurado en 1985 que gestiona la subvención de servicios telefónicos para familias de bajos ingresos. En él se detectaron aplicaciones que habían sido instaladas en segundo plano sin el consentimiento del usuario y que no podían ser eliminadas.
No obstante, este no ha sido el único modelo de teléfono móvil que ha manifestado este tipo de problemas.
Así es, Malwarebytes ha descubierto la misma falla presente en el sistema Android 7.1.1 del modelo ANS (American Network Solutions) UL40.
En este sentido, Nathan Collier, investigador de Malwarebytes ha declarado que, tras el informe efectuado por la empresa en enero, han surgido reclamos por parte de seguidores que manifestaron encontrar vestigios de malware presente en una variedad de modelos de dispositivos móviles ANS.
Los investigadores procedieron a comprobar las acusaciones con el modelo ANS UL40, del cual desconocen si aun se encuentra en venta de forma directa por Assurance Wireless. Sin embargo, el manual de usuario del equipo se muestra en el sitio web del vendedor y el modelo todavía puede ser adquirido a través otras tiendas en línea.
Al igual que ocurrió con el modelo de dispositivo móvil UMX U686CL, se encontraron dos aplicaciones: una de configuración y otra de actualizaciones inalámbrica.
Características y acción de los malwares
En detalle, se pudo conocer que la aplicación de configuración corresponde a un troyano de nombre Downloader Wotby, el cual puede tener la capacidad de descargar aplicaciones externamente. Sin embargo, los investigadores no habían detectado ninguna señal relacionada con la instalación de malware procedente de una tienda de terceros vinculada al software, aunque, no descartan que las mismas puedan ser instaladas más adelante.
Por su parte, la otra aplicación dañina, WirelessUpdate está considerada un programa potencialmente no deseado (PUP) programado para habilitar la instalación automática de aplicaciones sin permiso o consentimiento del usuario.
Pese a que la aplicación actúa como un actualizador aéreo para efectuar correcciones de seguridad y actualizaciones del sistema operativo, el software también efectúa la instalación de 4 versiones de HiddenAds, un conjunto de troyanos que afectan los teléfonos móviles Android y que constituyen una cepa de adware que satura el dispositivo con anuncios.
En un intento por detectar la procedencia del malware, el equipo de Malwarebytes desactivó WirelessUpdate durante un periodo de 24 horas, reactivándolo posteriormente. Transcurrido el tiempo se pudo comprobar que 4 variedades de adware habían sido instaladas en segundo plano.
Dada las diferencias presentes en el malware detectado en los modelos de dispositivos móviles UMX y ANS, los investigadores estaban decididos a descifrar si existía la posibilidad de que hubiera algún vínculo entre las marcas.
Al final, el equipo logro encontrar que ambas marcas usaban el mismo certificado digital, el cual, representa la firma de la aplicación de configuración de ANS registrada bajo el nombre de TeleEpoch que, al ir más allá en las investigaciones, condujo hasta TeleEpoch Ltd., registrada a su vez como UMX en los Estados Unidos.
En referencia a este descubrimiento, Collier expresó:
Tenemos una aplicación de Configuración encontrada en un ANS UL40 con un certificado digital firmado por una compañía que es una marca registrada de UMX […] Son dos aplicaciones de configuración diferentes con dos variantes de malware en dos fabricantes y modelos de teléfonos diferentes que parecen estar relacionados con TeleEpoch Ltd. Además, hasta ahora las únicas dos marcas que han preinstalado malware en la sección de Configuraciones a través del programa Lifeline Assistance son ANS y UMX.
Tras los exhaustivos análisis de Collier se pudo concluir que, tanto el modelo de dispositivo móvil ANS L51 como el UMX U686CL, habían sido infectadas por el mismo malware.
Pese a estos resultados, aún no está claro si los malwares fue implantado en los dispositivos móviles por los proveedores o en la cadena de suministro.