Los investigadores de TrendMicro han alertado de la existencia de teléfonos móviles Android que llegan al usuario preinfectados, fruto de una campaña que aprovecha la distribución global de estos dispositivos para acceder a datos que posteriormente venden a anunciantes.
El 'malware' Triada se identificó en 2016 como un troyano para Android que instalaba aplicaciones adicionales en los dispositivos, para funciones de 'spam' y engañar a las estadísticas. Posteriormente, mutó y se convirtió en una puerta trasera de Android.
Esta nueva versión de Triada permitió que se introdujera en la cadena de producción de algunos modelos de móviles, de manera que estos llegaban al mercado ya afectados por una puerta trasera que permitía infectar el dispositivo, como explicó Google en 2019.
A partir de esta investigación, TrendMicro ha descubierto una 'botnet' potenciada por ataques que comprometieron la cadena de suministro móvil, vinculada a un actor malicioso que han identificado como Lemon Group, y que usa el 'malware' Guerrilla. Este, en algún momento, ha trabajado junto con los responsables de Triada.
La amenaza que protagoniza Lemon Group, firma vinculada a los negocios de Big Data, infecta los 'smartphones' con Guerrilla, de tal forma que instala en ellos una puerta trasera que permite la comunicación con un servidor remoto desde el que se comprueba si existen actualizaciones maliciosas para instalar.
Son precisamente estas actualizaciones las que recogen datos de la actividad del usuario, que posteriormente Lemon Group vende con fines publicitarios, como explican desde TrendMicro en su blog.
Según estiman, los móviles afectados se han distribuido en más de 180 países y pertecen a distintas marcas que utilizan Android como sistema operativo. Estiman que el número asciende a 8,9 millones, el 3,85 por ciento en Europa, aunque la mayor parte se han determinado en Asia (55,26%).
Los investigadores han apuntado que este esquema se ha extendido a otros dispositivos del Internet de las Cosas (IoT), como los equipos Android TV. En este sentido, una investigación compartida por TechCrunch ha desvelado que algunos dispositivos de 'streaming' Android TV se han comercializado en Amazon con 'malware' precargado, capaz de lanza ataques coordinados.