Blu Studio G E1479586940511

Sólo hace unos días explotó la bomba del software espía que viene en muchos teléfonos Android de bajo costo y que envía todo tipo de información a servidores Chinos. Pues hoy nos encontramos con otra pieza de código que podría comprometer nuestra seguridad si es utilizada por algún hacker.

En esta ocasión la empresa de seguridad BitSight ha sido quien ha publicado un reporte donde describe una pieza de código que es utilizado en una amplia gama de móviles de bajo costo (cerca de 3 millones de ellos en el mercado) y que se implementa para las actualizaciones automáticas del móvil.

La tecnología OTA (Over-The-Air) de los móviles afectador ha sido desarrollada por la empresa Ragentek Group (una firma China) y contiene binarios (localizados en /system/bin/debugs) que corre con privilegios administrativos y se comunica a través de canales no encriptados con tres hosts. Esto se hace para firmar y servir las actualizaciones del sistema y aplicaciones preinstaladas.

Algunos teléfonos Android de bajo costo envían datos de los usuarios a China

Las investigaciones de BitSight ponen en relieve, sin embargo, que este código puede ser utilizado como un rootkit por un hacker malicioso quien podría fácilmente ejecutar comandos arbitrarios y hacerse con el control del dispositivos al tener privilegios administrativos. Tanto es el control, que el atacante podría utilizar este móvil para infiltrarse a la intranet a la que este conectado y atacar otros dispositivos conectados a la red.

directory

Las pruebas realizadas por BitSight demuestran que es posible que los atacantes puedan extraer información sensible del dispositivo, e incluso hacer una limpieza del mismo (eliminando todos los datos) de forma remota.

distribution-of-observed-devices-by-manufacturer

Actualmente, se conoce que la siguiente lista de móviles contienen esta pieza de código desarrollada como ya dijimos por Ragentek:

  • BLU Studio G
  • BLU Studio G Plus
  • BLU Studio 6.0 HD
  • BLU Studio X
  • BLU Studio X Plus
  • BLU Studio C HD
  • Infinix Hot X507
  • Infinix Hot 2 X510
  • Infinix Zero X506
  • Infinix Zero 2 X509
  • DOOGEE Voyager 2 DG310
  • LEAGOO Lead 5
  • LEAGOO Lead 6
  • LEAGOO Lead 3i
  • LEAGOO Lead 2S
  • LEAGOO Alfa 6
  • IKU Colorful K45i
  • Beeline Pro 2
  • XOLO Cube 5.0

De forma absolutamente extraña, de los hosts o dominios a los que el software en cuestión se conectaba eran 3 pero solo uno de ellos estaba registrado por la compañía que desarrollo y controla la distribución del software. AnubisNetworks, subsidiaria de BitSight, se ha hecho con el control de los otros dominios para prevenir futuros ataques.

QuadRooter: Vulnerabilidad que afecta millones de dispositivos Android

Esta segunda gran revelación en menos de una semana nos debe poner a todos un poco más atentos en cuanto a la compra de móviles de bajo costo. Por la parte del consumidor, que al final es quien puede verse más afectado no le queda más que informarse apropiadamente.

Si bien el software malicioso implementado tanto el caso de ADUPS como en este no esta relacionado directamente con los fabricantes -o eso parece-, demuestra que en estas empresas hay una total falta de estándares de calidad. Pareciera que las empresas solo se preocupan por vender y no por entregar un producto bien elaborado tanto en lo externo como en lo externo. Se puede entender esa preocupación por sacar todo cuanto antes debido a la competencia abismal que hay en el mercado, pero no por ello se justifica que comprometan la seguridad del usuario.

Más en TekCrispy