Marcos de fotos populares en Android descargan malware al iniciar el sistema

Iniciado por AXCESS, Noviembre 13, 2025, 06:10:02 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 13, 2025, 06:10:02 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los marcos de fotos digitales Uhale, basados en Android, presentan múltiples vulnerabilidades de seguridad críticas, y algunos descargan y ejecutan malware al arrancar el sistema.

La empresa de seguridad móvil Quokka realizó una evaluación de seguridad exhaustiva de la aplicación Uhale y detectó comportamientos que sugieren una conexión con las familias de malware Mezmess y Voi1d.

Los investigadores informaron de los problemas a ZEASN (ahora Whale TV), la empresa china responsable de la plataforma Uhale utilizada en los marcos de fotos digitales de numerosas marcas, pero no han recibido respuesta a las múltiples notificaciones enviadas desde mayo.

Distribución automática de malware

Comenzando con los hallazgos más alarmantes, muchos de los marcos de fotos Uhale analizados descargan código malicioso desde servidores en China al arrancar.

«Al arrancar, muchos de los marcos investigados buscan y actualizan la aplicación Uhale a la versión 4.2.0», afirman los investigadores de Quokka en el informe.

«El dispositivo instala esta nueva versión y se reinicia. Tras el reinicio, la aplicación Uhale actualizada inicia la descarga y ejecución del malware».

El archivo JAR/DEX descargado, que se guarda en el directorio de archivos de la aplicación Uhale, se carga y ejecuta en cada arranque posterior.

Los dispositivos que examinó Quokka tenían el módulo de seguridad SELinux desactivado, venían rooteados por defecto y muchos componentes del sistema estaban firmados con claves de prueba AOSP.

Downloaded payloads


Los investigadores hallaron pruebas que vinculan las cargas útiles descargadas con la botnet Vo1d y la familia de malware Mzmess, basándose en los prefijos de los paquetes, los nombres de las cadenas de texto, los puntos de conexión, el flujo de distribución y la ubicación de los archivos.

Sin embargo, se desconoce cómo se infectaron los dispositivos.

Flujo de trabajo de carga de malware


Múltiples fallos de seguridad

Además de la distribución de malware, que no se produjo en todos los marcos de fotos de la marca Uhale, los investigadores también descubrieron más de una docena de vulnerabilidades.

Entre los 17 problemas de seguridad que Quokka revela en el informe, 11 de los cuales tienen identificadores CVE asignados, a continuación se detallan los más importantes:

CVE-2025-58392 / CVE-2025-58397: Una implementación insegura de TrustManager permite la inyección de respuestas cifradas falsificadas mediante un ataque de intermediario, lo que conlleva la ejecución remota de código como usuario root en los dispositivos afectados.

CVE-2025-58388: El proceso de actualización de la aplicación pasa nombres de archivo sin sanitizar directamente a los comandos de shell, lo que permite la inyección de comandos y la instalación remota de APK arbitrarios.

CVE-2025-58394: Todos los frameworks probados se distribuyen con SELinux deshabilitado, tienen acceso root por defecto y utilizan claves de prueba públicas de AOSP, por lo que están prácticamente comprometidos desde el primer momento.

CVE-2025-58396: La aplicación preinstalada expone un servidor de archivos en el puerto TCP 17802 que acepta cargas no autenticadas, lo que permite a cualquier host de la red local escribir o eliminar archivos arbitrarios.

CVE-2025-58390: Las WebViews de la aplicación ignoran los errores SSL/TLS y permiten contenido mixto, lo que permite a los atacantes inyectar o interceptar datos mostrados en el dispositivo, facilitando el phishing o la suplantación de contenido.

Se utiliza una clave AES codificada (DE252F9AC7624D723212E7E70972134D) para descifrar las respuestas de sdkbin. Varios modelos incluyen componentes de actualización de Adups y bibliotecas obsoletas, mientras que la aplicación también utiliza patrones criptográficos débiles y claves codificadas, lo que genera riesgos en la cadena de suministro.

Dado que la mayoría de estos productos se comercializan y venden bajo diversas marcas sin mencionar la plataforma que utilizan, es difícil estimar el número exacto de usuarios potencialmente afectados.

La aplicación Uhale cuenta con más de 500 000 descargas en Google Play y 11 000 reseñas de usuarios en la App Store. Los marcos de fotos de la marca Uhale en Amazon tienen casi mil reseñas de usuarios.

Se recomienda a los consumidores que solo compren dispositivos electrónicos de marcas reconocidas que utilicen imágenes oficiales de Android sin modificaciones de firmware, servicios de Google Play y protecciones integradas contra malware.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario