10 jun. 2019

Google confirma un backdoor preinstalado por terceros Android

Google acaba de confirmar que delincuentes desconocidos lograron instalar una puerta trasera avanzada en algunas marcas de dispositivos Android, antes de abandonar la fábrica.

El malware Triada salió a la luz en 2016 en artículos publicados por Kaspersky aquí y aquí, el primero de los cuales dijo que "el malware era uno de los troyanos móviles más avanzados" que los analistas de la firma de seguridad habían encontrado. Una vez instalado, el propósito principal de Triada era instalar aplicaciones que pudieran usarse para enviar spam y mostrar anuncios.

Existen dos razones por las que resulta tan complicado encontrar a Triada y que impresionaron mucho a nuestros investigadores. En primer lugar, Triada modifica el proceso Zygote del sistema operativo Android, utilizado como plantilla para cualquier aplicación. Esto significa que, una vez que el troyano entra en Zygote, este empieza a formar parte de literalmente todas las aplicaciones iniciadas en el dispositivo. Triada también se conectaba a no menos de 17 servidores de comando y control.
En julio de 2017, la firma de seguridad Dr. Web informó que sus investigadores encontraron que Triada estaba incorporada en el firmware de varios dispositivos Android, incluidos Leagoo M5 Plus, Leagoo M8, Nomu S10 y Nomu S20. Los atacantes utilizaron la puerta trasera para descargar e instalar módulos a escondidas. Debido a que la puerta trasera estaba incorporada en una de las bibliotecas del sistema operativo y ubicada en la sección del sistema, no se pudo eliminar utilizando métodos estándar, según el informe.

El jueves, Google confirmó el informe del Dr. Web, aunque no llegó a mencionar a los fabricantes. El informe del jueves también dijo que el ataque a la cadena de suministro fue llevado a cabo por uno o más socios que los fabricantes utilizaron para preparar la imagen de firmware final utilizada en los dispositivos afectados. Lukasz Siewierski, miembro del Equipo de Seguridad y Privacidad de Android de Google, escribió:
Triada infecta las imágenes del sistema del dispositivo a través de un tercero durante el proceso de producción. A veces, los OEM desean incluir funciones que no forman parte del proyecto de código abierto de Android, como el desbloqueo facial. El OEM podría asociarse con un tercero que pueda desarrollar la función deseada y enviar toda la imagen del sistema a ese proveedor para su desarrollo.
Según el análisis, creemos que un proveedor que utiliza el nombre Yehuo o Blazefire infectó la imagen del sistema devuelta con Triada.
La publicación del jueves también amplió el análisis previo de las características que hicieron a Triada tan sofisticada. Por un lado, usaba codificación XOR y archivos ZIP para cifrar las comunicaciones. Y, por otra parte, inyectó código en la aplicación de interfaz de usuario del sistema que permitía que se mostraran los anuncios. La puerta trasera también inyectó un código que le permitió usar la aplicación Google Play para descargar e instalar aplicaciones a elección de los atacantes.

"Las aplicaciones se descargaron del servidor C&C, y la comunicación con C&C se cifró utilizando la misma rutina de cifrado personalizada con doble XOR y ZIP", escribió Siewierski. "Las aplicaciones descargadas e instaladas usaban los nombres de paquetes de aplicaciones no populares disponibles en Google Play. No tenían ninguna relación con las aplicaciones en Google Play, aparte del mismo nombre de paquete".

Mike Cramp, investigador principal de seguridad del proveedor de seguridad móvil Zimperium, estuvo de acuerdo con las evaluaciones de que las capacidades de Triada eran avanzadas."Por lo que parece, Triada parece ser una pieza de malware relativamente avanzada que incluye capacidades de C&C y, al principio, capacidades de ejecución de shell", dijo Cramp. "Vemos muchos programas publicitarios, pero Triada es diferente en que usa C&C y otras técnicas que usualmente veríamos más en el lado del malware malicioso. Sí, todo esto se usa para entregar anuncios, pero la forma en que Es más sofisticado que la mayoría de las campañas de adware. Es más o menos un 'adware con esteroides'".

Siewierski dijo que los desarrolladores de Triada recurrieron al ataque de la cadena de suministro después de que Google implementó medidas que detectaban con éxito la puerta trasera. Una de ellas fue la mitigación que impidió que funcionaran sus mecanismos de rooting. Una segunda medida fueron las mejoras en Google Play Protect que permitieron a la compañía desinfectar remotamente los teléfonos comprometidos.

La versión Triada que vino preinstalada en algún momento de 2017 no contenía las capacidades de rooting. "La nueva versión se incluyó discretamente en la imagen del sistema como código de terceros para funciones adicionales solicitadas por los OEM". Desde entonces, Google ha trabajado con los fabricantes para garantizar que la aplicación maliciosa se haya eliminado de la imagen del firmware.

No es la primera vez

El año pasado, Google implementó un programa que requiere que los fabricantes envíen imágenes de compilación nuevas o actualizadas a un conjunto de pruebas de compilación. "Una de estas pruebas de seguridad analiza las PHA preinstaladas (Aplicaciones Potencialmente Dañinas) incluidas en la imagen del sistema", escribió Google en su Informe de seguridad anual de seguridad y privacidad 2018 de Android [PDF]. "Si encontramos una PHA en la compilación, trabajamos con el socio OEM para remediar y eliminar la PHA de la compilación antes de poder ofrecerla a los usuarios".

Aún así, el informe del jueves reconoce que, a medida que Google refuerza la seguridad en un área, los atacantes seguramente se adaptarán explotando nuevas debilidades.

"El caso Triada es un buen ejemplo de cómo los autores de malware para Android se adaptan", escribió Siewierski. "Este caso también muestra que es más difícil infectar dispositivos Android, especialmente si el autor del malware requiere una elevación de privilegios".

Fuente: Arstechnica

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!