Estos software malisiosos no fueron instalados sobre el sistema operativo sino junto con el mismo, por lo que se hace muy difícil detectar su presencia.
Una cantidad aún no determinada de unidades de al menos 36 modelos de smartphones de nueve marcas salieron al mercado con malware preinstalado junto con su sistema operativo, en particular dos códigos maliciosos indetectables para el usuario promedio que permiten la vulneración total de los datos y comunicaciones que se realicen desde esas unidades, según denunciaron expertos.
Los teléfonos afectados -entre los cuales hay populares modelos de marcas como Samsung, LG y Nexus- vieron modificados su sistema operativo (Android, en todos los casos) en algún punto de la cadena que va desde la fabricación a la venta y, según alertó un informe de la publicación especializada en ciberseguridad CheckPoint, se detectaron en ellos dos familias de malware: Loki y SLocker.
Estos no fueron instalados sobre el sistema operativo sino junto con éste, por lo que se hace muy difícil detectar su presencia y, por otra parte, también es complicada su remoción sin la reinstalación total del programa que permite el funcionamiento del equipo.
Estos “troyanos” tendrían la posibilidad de captar toda la información disponible en el teléfono: desde la agenda de contactos hasta las imágenes, pasando por las comunicaciones sin importar el tipo de mensajería que pudiera utilizarse.
CheckPoint indicó en su informe que los teléfonos afectados pertenecen a «una gran compañía de telecomunicaciones y a una multinacional tecnológica», aunque no precisó a cuáles.
“Si uno tiene un teléfono que se encuentra en el listado de modelos, no quiere decir que esté afectado. Si tiene alguna duda, puede pedir el reemplazo de la terminal en la empresa donde lo compró o, desde la configuración, hacer la restauración del sistema salido de fábrica, previo backup de la información personal”, explicó a Télam el especialista en seguridad informática Cristian Borghello.
Al estar incluidos modelos de empresas de orígenes diversos, está casi descartado que la operación haya sido realizada por un fabricante competidor, y la hipótesis más firme apunta a un robo de mercadería para la modificación o la intervención en alguno de los eslabones de la comercialización.
Algunas pocas empresas tienen un resguardo mayor porque controlan cada etapa de la cadena, desde la fabricación a la distribución y los puntos de venta, pero la mayoría de los fabricantes vende sus productos a empresas que tercerizan la comercialización, tornándose difícil la tarea de encontrar la fuga.
“Lo más probable es que cuando salieron de fábrica lo hicieron normalmente con el sistema ‘normal’ y que hayan sido interceptados”, analizó Borghello.
Algunos modelos afectados son los Samsung Galaxy Note Edge, 2, 3, 4, 5 y 8.0; el A5, los S4 y S7, y el Tab S2.
También sufrieron modificaciones el LG G4, Xiaomi Mi 4i, Xiaomi Redmi, ZTE x500, Oppo N3, OppoR7 plus, Vivo X6 plus, Nexus 5, Nexus 5X, Asus Zenfone 2, LenovoS90 y Lenovo A850.
El perito informático forense Maximiliano Bendinelli, especialista en ciberseguridad, deslizó que la infección podría servir para “secuestrar” información del usuario y pedir un “rescate” monetario.
Bendinelli explicó a Télam que la hipótesis más lógica sea que la infección se haya realizado en las computadoras de la «telco» en cuestión, y que esa empresa, al cargar el sistema operativo personalizado que incluye sus aplicaciones propias (rom), haya diseminado la infección a sus teléfonos.
“Es casi improbable que haya sido un robo de equipos a gran escala, que se hayan tomado el trabajo de ‘abrir’ y cambiar los sistemas de los celulares uno a uno. Tiene más lógica que hayan infectado las computadoras de la empresa y que, al volcar el rom en los smartphones, estas lo hayan reproducido”, añadió.
En ese sentido, Bendinelli también rechazó la posibilidad de que se trate de un caso de espionaje comercial: “¿Qué razón habría para instalar estos programas? ¿Conocer el teléfono de un cliente de tu competencia? Hay métodos menos sofisticados para lograrlo”, se preguntó.
Slocker, una de los malware preinstalados, es un ransomware (como se llama a los programas maliciosos que «secuestran» el equipo para cobrar un rescate en dinero) que utiliza un algoritmo de encriptación para cifrar todos los archivos del dispositivo, indica el reporte de Checkpoint.
En tanto, Loki es un malware «complejo» que, por un lado, muestra anuncios publicitarios para generar ingresos, y por el otro, roba información del teléfono y permite a un atacante tomar el control del equipo.
“Antes era difícil monetizar un ataque a un usuario particular, ahora que no. Te secuestran la información del equipo y te obligan a pagar. Generalmente esto pasa cuando el usuario instala una aplicación por fuera de la tienda oficial App Store o Google Play. En este caso la gente se compra un smartphone y ya viene infectado sin que te des cuenta”, explicó Bendinelli.
Esta no es la primera vez que sucede algo así, de hecho se vienen reportando casos similares en la prensa especializada al menos desde 2011, cuando el investigador estadounidense Trevor Eckhart encontró que su teléfono marca THC, con Android, ejecutaba un software instalado de fábrica que registraba y enviaba furtivamente todo tipo de información a una empresa del Silicon Valley.