Malware oculto que se aprovecha de millones de teléfonos Android listos para usar
Los investigadores de ciberseguridad de Trend Micro descubrieron un incidente preocupante de un ataque a la cadena de suministro dirigido a dispositivos Android. Descubrieron que millones de dispositivos Android, incluidos teléfonos inteligentes económicos, relojes inteligentes, televisores inteligentes y otros dispositivos inteligentes, están siendo infectados con malware de robo de información incluso antes de salir de fábrica.
Durante una conferencia en Singapur, los investigadores de Trend Micro Fyodor Yarochkin y Zhengyu Dong arrojaron luz sobre la causa raíz de este problema y lo atribuyeron a la feroz competencia entre los fabricantes de equipos originales (OEM). Si bien los fabricantes de teléfonos inteligentes subcontratan ciertos componentes, como el firmware, a proveedores externos, la disminución de los precios del firmware de los teléfonos móviles ha llevado a estos proveedores a tener dificultades para monetizar sus productos.
En consecuencia, Yarochkin explicó que estos productos comenzaron a venir preinstalados con "complementos silenciosos" que eran extras no deseados. La investigación de Trend Micro reveló numerosas imágenes de firmware que buscaban software malicioso e identificó alrededor de 80 complementos diferentes. Algunos de estos complementos formaban parte de un "modelo comercial" más amplio y se vendían en foros clandestinos y se publicitaban en las principales plataformas de redes sociales y blogs.
Estos complementos poseen varias capacidades, incluido el robo de información confidencial, mensajes SMS, apropiación de cuentas de redes sociales, fraude de anuncios y clics, abuso de tráfico y más. El Registro destacó un problema particularmente grave en el que un complemento permite al comprador obtener el control completo de un dispositivo durante períodos de hasta cinco minutos y usarlo como un "nodo de salida".
Según Trend Micro, los datos indican que casi nueve millones de dispositivos en todo el mundo han sido víctimas de este ataque a la cadena de suministro, la mayoría ubicados en el sudeste asiático y Europa del Este. Si bien los investigadores no nombraron explícitamente a los culpables, mencionaron a China varias veces en su discusión.
¿Qué es un ataque a la cadena de suministro?
Un ataque a la cadena de suministro es una táctica maliciosa empleada por los ciberdelincuentes para atacar y explotar vulnerabilidades dentro de la red interconectada de proveedores, vendedores y proveedores de servicios que contribuyen a la producción y distribución de bienes o servicios. En lugar de atacar directamente a un objetivo específico, los atacantes se infiltran y comprometen una entidad confiable dentro de la cadena de suministro para obtener acceso no autorizado o introducir elementos maliciosos en el producto o servicio final.
El objetivo de un ataque a la cadena de suministro es explotar la confianza depositada en la entidad comprometida y utilizarla como trampolín para alcanzar el objetivo final. Al comprometer un enlace confiable en la cadena de suministro, los atacantes pueden obtener acceso a información confidencial, introducir software malicioso, alterar productos o manipular procesos, lo que genera varios resultados perjudiciales.
Existen diferentes métodos empleados en los ataques a la cadena de suministro, que incluyen:
Manipulación de software o firmware: los atacantes apuntan al software o firmware de los productos, insertando código malicioso o vulnerabilidades durante el proceso de desarrollo o fabricación.
Compromiso del proveedor: los ciberdelincuentes comprometen la infraestructura de un proveedor para obtener acceso no autorizado a datos o sistemas confidenciales y utilizarlos como plataforma de lanzamiento para futuros ataques.
Explotación de componentes de terceros: los atacantes explotan vulnerabilidades en componentes de terceros integrados en productos o servicios, aprovechando estas debilidades para comprometer el sistema en general.
Componentes falsificados: los actores malintencionados introducen componentes falsificados o comprometidos en la cadena de suministro, lo que puede provocar infracciones de seguridad o problemas de rendimiento en el producto final.