La policía alemana está alertando de un peligroso malware que está instalado por defecto en los smartphones alemanes, y se calcula que unos 20.000 alemanes están infectados.
El troyano en cuestión ha sido detectado por la compañía antivirus Sophos como ‘Andr/Xgen2-CY’ y fue detectado por primera vez en Octubre de 2018 bajo la aplicación ’SoundRecorder. Esta aplicación venía instalada en varios teléfonos de forma nativa.
Los modelos detectados que tienen el malware instalado de fábrica son dispositivos Android low-cost y son los siguientes:
- Doogee BL7000
- M-Horse Pure 1
- Keecoo P11
- VKworld Mix Plus
El comportamiento de esta familia es similar al de otras: se ejecutará en el arranque, para posteriormente enviar la información del dispositivo y quedarse a la escucha de nuevas órdenes. La información principal recolectada por el malware era la siguiente:
- Número de teléfono del dispositivo
- Localización del dispositivo
- IMEI y Android ID
- Marca, modelo y versión del sistema
- Información de la CPU
- Tipo de red
- Dirección MAC
- Tamaño de la memoria RAM y ROM
- Espacio de la tarjeta de memoria
- Lenguaje y país
- Proveedor de servicio
Entre las acciones más relevantes que se pueden llevar a cabo a través del servidor de C&C, se encuentra el instalar o desinstalar aplicaciones y ejecutar comandos shell.
Cabe destacar que una desinstalación manual no es posible ya que el malware está instalado en el firmware del dispositivo. Por lo tanto, solo es posible cambiar el firmware del dispositivo para limpiar el virus. Algo que no es factible para todos los usuarios. Sin duda una demostración de que lo barato puede salir caro.
Más información:
Germany: Backdoor found in four smartphone models; 20,000 users infected
https://www.zdnet.com/article/germany-backdoor-found-in-four-smartphone-models-20000-users-infected/
The price of a cheap mobile phone may include your privacy
https://news.sophos.com/en-us/2018/10/02/the-price-of-a-cheap-mobile-phone-may-include-your-privacy/
