Malware encontrado preinstalado en algunos teléfonos inteligentes Alcatel
Malware también estaba disponible dentro de una aplicación oficial de Alcatel disponible a través de Google Play Store.
Una aplicación meteorológica que viene preinstalada en los teléfonos inteligentes Alcatel contenía malware que suscriptores subrepticiamente suscritos a números de teléfono premium a sus espaldas.
La aplicación, llamada "Weather Forecast-World Weather Accurate Radar", fue desarrollada por TCL Corporation, una empresa china de electrónica que, entre otras cosas, posee las marcas Alcatel, BlackBerry y Palm.
La aplicación es una de las aplicaciones predeterminadas que TCL instala en los teléfonos inteligentes Alcatel, pero también estuvo disponible en la Play Store para todos los usuarios de Android, donde se ha descargado e instalado más de diez millones de veces.
Pero en un momento del año pasado, tanto la aplicación incluida en algunos dispositivos Alcatel como la que estaba disponible en la Play Store se vieron comprometidas con malware. No está claro cómo se agregó el malware a la aplicación. TCL no ha respondido a las llamadas telefónicas solicitando comentarios hechos por ZDNet esta semana.
La aplicación, llamada "Weather Forecast-World Weather Accurate Radar", fue desarrollada por TCL Corporation, una empresa china de electrónica que, entre otras cosas, posee las marcas Alcatel, BlackBerry y Palm.
La aplicación es una de las aplicaciones predeterminadas que TCL instala en los teléfonos inteligentes Alcatel, pero también estuvo disponible en la Play Store para todos los usuarios de Android, donde se ha descargado e instalado más de diez millones de veces.
Pero en un momento del año pasado, tanto la aplicación incluida en algunos dispositivos Alcatel como la que estaba disponible en la Play Store se vieron comprometidas con malware. No está claro cómo se agregó el malware a la aplicación. TCL no ha respondido a las llamadas telefónicas solicitando comentarios hechos por ZDNet esta semana.
La aplicación causó pérdidas financieras a los usuarios
La infección salió a la luz el verano pasado, cuando Upstream, una empresa de seguridad móvil con sede en el Reino Unido, descubrió tráfico sospechoso proveniente de los teléfonos inteligentes de algunos de sus clientes.
En un informe publicado esta semana y compartido con ZDNet, la compañía dice que inicialmente detectó que la aplicación estaba recolectando datos de los usuarios y enviándolos a un servidor en China. La aplicación recopiló ubicaciones geográficas, direcciones de correo electrónico y códigos IMEI, que envió a TCL.
Pero esta aplicación meteorológica no es la única aplicación sospechosa con permisos intrusivos que recopila datos y los envía a China. Ya hay muchos de esos alrededor.
La infección salió a la luz el verano pasado, cuando Upstream, una empresa de seguridad móvil con sede en el Reino Unido, descubrió tráfico sospechoso proveniente de los teléfonos inteligentes de algunos de sus clientes.
En un informe publicado esta semana y compartido con ZDNet, la compañía dice que inicialmente detectó que la aplicación estaba recolectando datos de los usuarios y enviándolos a un servidor en China. La aplicación recopiló ubicaciones geográficas, direcciones de correo electrónico y códigos IMEI, que envió a TCL.
Pero esta aplicación meteorológica no es la única aplicación sospechosa con permisos intrusivos que recopila datos y los envía a China. Ya hay muchos de esos alrededor.
Los desarrolladores upstream también encontraron que en ciertas regiones, el código malicioso oculto dentro de la aplicación también intentaría suscribir a los usuarios a números de teléfono premium que incurrieron en grandes cargos en las facturas telefónicas de los usuarios.
En Brasil, se bloquearon 2,5 millones de intentos de transacción iniciados desde esta aplicación de Weather en dispositivos Alcatel en julio y agosto de 2018. Esos 2,5 millones de intentos de transacción para comprar un servicio digital se originaron en 128,845 números de teléfonos móviles únicos.
Nuevamente en Brasil, pero para otro servicio digital premium, se bloquearon 428,291 intentos de transacción iniciados desde esta aplicación Weather en dispositivos Alcatel en julio y agosto de 2018.
En Kuwait, se bloquearon 78,940 intentos de transacciones iniciadas desde dispositivos Alcatel en julio y agosto de 2018.
Los intentos de transacción iniciados por esta aplicación de Clima en dispositivos Alcatel también fueron bloqueados en Nigeria, Sudáfrica, Egipto y Túnez.
En total, la compañía dice que detectó y bloqueó más de 27 millones de intentos de transacción en siete mercados, lo que habría generado pérdidas de alrededor de $ 1.5 millones para los propietarios de teléfonos si no hubieran sido bloqueados.
Además de estas transacciones, los desarrolladores de Upstream también detectaron un comportamiento similar al adware que se originó en un teléfono infectado que le compraron a su antiguo propietario.
La aplicación del tiempo, que se ejecutó en el fondo del teléfono, también inició ventanas ocultas del navegador que cargaban páginas web y hacían clic en los anuncios. "Registramos entre 50 MB y 250 MB de datos por día consumidos por la actividad no deseada de la aplicación", dijeron los investigadores.
Esto significa que además de aumentar las facturas de teléfono al suscribir usuarios a números premium, lo más probable es que la aplicación esté agotando los planes de datos de acceso a Internet, incurriendo en más pérdidas financieras para las víctimas.
En total, la compañía dice que detectó y bloqueó más de 27 millones de intentos de transacción en siete mercados, lo que habría generado pérdidas de alrededor de $ 1.5 millones para los propietarios de teléfonos si no hubieran sido bloqueados.
Además de estas transacciones, los desarrolladores de Upstream también detectaron un comportamiento similar al adware que se originó en un teléfono infectado que le compraron a su antiguo propietario.
La aplicación del tiempo, que se ejecutó en el fondo del teléfono, también inició ventanas ocultas del navegador que cargaban páginas web y hacían clic en los anuncios. "Registramos entre 50 MB y 250 MB de datos por día consumidos por la actividad no deseada de la aplicación", dijeron los investigadores.
Esto significa que además de aumentar las facturas de teléfono al suscribir usuarios a números premium, lo más probable es que la aplicación esté agotando los planes de datos de acceso a Internet, incurriendo en más pérdidas financieras para las víctimas.
También te puede interesar: Malware preinstalado encontrado en 141 dispositivos Android de bajo costo en más de 90 países
Dos modelos de teléfonos inteligentes Alcatel afectados principalmente
Según Upstream, la mayoría del comportamiento que han visto se originó solo en dos tipos de teléfonos inteligentes, los modelos Pixi 4 y A3 Max. Sin embargo, la compañía no tiene una visión mundial de los dispositivos infectados, y muchos más podrían estar infectados, especialmente los usuarios que descargaron la aplicación desde Play Store.
Google ha eliminado la aplicación (com.tct.weather) de Play Store después de que Upstream trabajó con los reporteros de Wall Street Journal para notificar a TCL y Google.
El punto del compromiso no parece ser el de un proveedor de teléfonos dudosos o un proveedor de telecomunicaciones malintencionado en ninguno de los países afectados, principalmente porque tanto las aplicaciones preinstaladas como las de Play Store se vieron afectadas de la misma manera.
La fuente de la infección parece ser un desarrollador de TCL que tuvo su sistema comprometido, aunque esto es solo una teoría.
"La actividad sospechosa se detuvo después de que el WSJ se contactó con TCL", dijo un portavoz de Upstream a ZDNet ayer por correo electrónico, "aunque la recopilación de datos continuó".
Upstream le dijo a ZDNet que actualmente está trabajando con TCL en la investigación del problema. La compañía también dijo que no analizaron las otras aplicaciones cargadas en Play Store desde la misma cuenta TCL, pero tampoco encontraron ninguna actividad sospechosa que se originara en ellas.
Según Upstream, la mayoría del comportamiento que han visto se originó solo en dos tipos de teléfonos inteligentes, los modelos Pixi 4 y A3 Max. Sin embargo, la compañía no tiene una visión mundial de los dispositivos infectados, y muchos más podrían estar infectados, especialmente los usuarios que descargaron la aplicación desde Play Store.
Google ha eliminado la aplicación (com.tct.weather) de Play Store después de que Upstream trabajó con los reporteros de Wall Street Journal para notificar a TCL y Google.
El punto del compromiso no parece ser el de un proveedor de teléfonos dudosos o un proveedor de telecomunicaciones malintencionado en ninguno de los países afectados, principalmente porque tanto las aplicaciones preinstaladas como las de Play Store se vieron afectadas de la misma manera.
La fuente de la infección parece ser un desarrollador de TCL que tuvo su sistema comprometido, aunque esto es solo una teoría.
"La actividad sospechosa se detuvo después de que el WSJ se contactó con TCL", dijo un portavoz de Upstream a ZDNet ayer por correo electrónico, "aunque la recopilación de datos continuó".
Upstream le dijo a ZDNet que actualmente está trabajando con TCL en la investigación del problema. La compañía también dijo que no analizaron las otras aplicaciones cargadas en Play Store desde la misma cuenta TCL, pero tampoco encontraron ninguna actividad sospechosa que se originara en ellas.
Fuente: https://www.zdnet.com/
Compartir...