(https://i.postimg.cc/6pkjvgyp/Android.png) (https://postimages.org/)
Kaspersky descubre una nueva puerta trasera (backdoor) que se distribuye en nuevos dispositivos Android
Cuidado dónde compra sus dispositivos Android: los expertos advierten que algunos vienen preinstalados con malware siniestro que puede controlar todo el dispositivo, espiar sus datos, realizar cambios y mucho más.
Investigadores de Kaspersky han descubierto una nueva variante de malware, denominada Keenadu, que funciona como una puerta trasera y presenta diversos grados de vulnerabilidad según su implementación.
Lo peor es que Keenadu se está implementando a nivel de firmware, lo que significa que alguien lo instaló debajo del sistema operativo, incluso antes de que el dispositivo saliera al mercado. Los expertos también lo han visto integrado en aplicaciones del sistema, distribuido a través de APK maliciosos e incluso en aplicaciones de Google Play Store; sin embargo, la variante implementada a nivel de firmware fue, con diferencia, la más peligrosa.
No hay evidencia de explotación
"En esta variante, Keenadu es una puerta trasera completamente funcional que proporciona a los atacantes control ilimitado sobre el dispositivo de la víctima", explicó Kaspersky.
"Puede infectar todas las aplicaciones instaladas en el dispositivo, instalar cualquier aplicación desde archivos APK y otorgarles todos los permisos disponibles. Como resultado, toda la información del dispositivo, incluyendo contenido multimedia, mensajes, credenciales bancarias, ubicación, etc., puede verse comprometida. El malware incluso monitorea las consultas de búsqueda que el usuario introduce en el navegador Chrome en modo incógnito".
Por suerte para las víctimas, los atacantes conducen este Ferrari como si fuera un Fiat 500, ya que lo utilizan principalmente para obtener clics en anuncios.
Hasta el momento, Kaspersky ha identificado alrededor de 13.000 endpoints infectados, ubicados principalmente en Rusia, Japón, Alemania, Brasil y Países Bajos. Si el malware detecta que el idioma o la zona horaria del dispositivo están asociados con China, no se integrará, lo que posiblemente sugiere que los atacantes son de origen chino.
Además, el malware también se detiene si no se encuentran Google Play Store ni Play Services en el dispositivo, lo que, supongo, significa que los dispositivos HarmonyOS (hardware Huawei) no están siendo atacados.
Las aplicaciones maliciosas de Android que se encontraban en Google Play Store se eliminaron mientras tanto, pero los investigadores recomiendan a las víctimas que dejen de usar estos dispositivos y los reemplacen con alternativas limpias.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-keenadu-backdoor-found-in-android-firmware-google-play-apps/
TechRadar
https://www.techradar.com/pro/security/a-dangerous-new-android-backdoor-has-been-found-keenadu-lurks-in-firmware-heres-what-we-know