RottenSys: Some smartphones are coming with malware already installed

Esta es probablemente la característica de un teléfono inteligente que no tenía en su lista de "imprescindibles": los investigadores han descubierto una serie de teléfonos que llegan al mercado que vienen con malware preinstalado, llamado RottenSys, sin que sus nuevos propietarios tengan que hacer un solo deslizamiento.

Se cree que casi 5 millones de teléfonos están incluidos en este esquema. Las marcas afectadas incluyen GIONEE, Honor, Huawei, OPPO, Samsung, Vivo y Xiaomi. Si bien todos los teléfonos infectados parecen haber llegado a través de Tian Pai, un distribuidor chino con sede en Hangzhou, la conexión precisa aún no se ha descubierto.

Si bien el malware se ha denominado RottenSys, los usuarios afectados ven esto como una aplicación de "Servicio de Wi-Fi del sistema" más inocuo que viene preinstalada en sus teléfonos.

RottenSys entra silenciosamente
RottenSys no inicia inmediatamente para no activar ninguna alarma. En cambio, comienza conversando con sus servidores de comando y control para obtener primero una lista de compras y luego obtiene el código malicioso.

Este lote de código en particular se convierte en una campaña de adware con una avalancha de anuncios que aparecen en el dispositivo de la víctima como anuncios emergentes y de pantalla completa, produciendo un flujo de ingresos publicitarios para los ciberdelincuentes.

Luego bombea el volumen
Eso es solo el comienzo. Los investigadores de CheckPoint creen que el malware puede luego mutar de acuerdo con cualquier comando de sobrecarga. Esperan que el malware se convierta en parte de una botnet más grande que podría distribuir otras aplicaciones y cambiar la UI de la víctima.

RottenSys es parte de la tendencia moderna en el malware de no tomar dinero directamente de su bolsillo como ransomware, pero obligándolo a ver anuncios irritantes, y luego facturar a los anunciantes por su esfuerzo. Nadie dice si estos anuncios son realmente de "alto valor".

El software está construido como su automóvil: maneje con cuidado
En esencia, RottenSys es una vulnerabilidad de la cadena de suministro en la industria del software. Es como su automóvil, con varias fábricas de relleno de espuma, telas, armazones de acero, otra fábrica que ensambla esto en un asiento y lo envía a la planta de ensamblaje final donde llega unos 45 minutos antes de atornillarlo en su lugar. Los fabricantes de automóviles miran atentamente toda esta cadena de suministro, y RottenSys es una señal de que la industria de TI también necesita hacerlo.

¿Qué puedes hacer para mantenerte a salvo?

Aquí hay un lado positivo. Debido a los requisitos previos que deben darse para que el malware esté en su teléfono, la mayoría de los teléfonos infectados tienen su base en China, por lo que si no ha comprado su dispositivo desde allí, debería estar seguro. Sin embargo, para estar realmente seguro, puedes hacer lo siguiente:

Vaya a la configuración de su sistema Android y desde allí abra el Administrador de aplicaciones. Luego busque los siguientes posibles nombres de paquetes de malware:

 com.android.yellowcalendarz (每日 黄 历)

com.changmi.launcher (畅 米 桌面)

com.android.services.securewifi (系统 WIFI 服务)

com.system.service.zdsgt

Si alguno de los anteriores está en la lista de sus aplicaciones instaladas, simplemente desinstálelo y estará bien.


Enlace al artículo en ingles: https://blog.avira.com/rottensys-preinstalled-malware/