En el día de ayer, y a través de dos informes diferentes, se llegó a la misma conclusión: hay un ingente número de dispositivos Android que está llegando al mercado con malware preinstalado. No solo eso. Dicho malware no se puede eliminar de forma sencilla, siendo en algunos casos una auténtica odisea.
El primero de esos informes llegó por parte de de la empresa de seguridad Trend Micro, desde donde se informa que unos 8,9 millones de teléfonos de hasta 50 marcas diferentes estaban infectados con malware. Guerrilla, como llamaron al malware, se encontró en 15 aplicaciones maliciosas que Google permitió en Play.
Al parecer, este malware abre una puerta trasera que hace que los dispositivos infectados se comuniquen regularmente con un servidor de comando y control remoto para verificar si hay nuevas actualizaciones maliciosas para instalar. Estas actualizaciones maliciosas recopilan datos sobre los usuarios que pueden vender a los anunciantes. Luego, Guerrilla instala un tipo de plataformas publicitarias tan agresivas como para agotar las reservas de batería y degradar la experiencia del usuario. Según Trend Micro:
Si bien identificamos una serie de negocios que Lemon Group realiza para empresas de big data, marketing y publicidad, el negocio principal implica la utilización de big data: análisis de cantidades masivas de datos y las características correspondientes de los envíos de los fabricantes, diferentes contenidos publicitarios obtenidos de diferentes usuarios en diferentes momentos, y los datos de hardware con empuje de software detallado. Esto le permite a Lemon Group monitorear a los clientes que pueden infectarse aún más con otras aplicaciones para desarrollar, como enfocarse en mostrar solo anuncios a usuarios de aplicaciones de ciertas regiones.
En este caso, desde la página alertan que los países más afectados (con la mayor concentración de teléfonos infectados) son Estados Unidos, seguido de México, Indonesia, Tailandia y Rusia.
El segundo informe se publicó en TechCrunch. En el mismo, se detallan varias líneas de TV basadas en Android y vendidas a través de Amazon que están mezcladas con malware. Estos modelos informan a un servidor de comando y control que, al igual que los servidores de Guerrilla, pueden instalar cualquier aplicación que deseen los creadores de malware. El malware predeterminado preinstalado se conoce como clickbot, y genera ingresos publicitarios con los anuncios en segundo plano.
