Android en riesgo, por nuevo “backdoor”

Palo Alto Networksel, empresa tecnológica deseguridad empresarial, reveló detalles de una falsa entrada contenida en millones de dispositivos móviles Android vendidos por Coolpad, uno de principales fabricantes de smartphones en el mundo con sede en China.

 

Esta “backdoor” conocida como «CoolReaper», expone a los usuarios a actividades maliciosas y al parecer fue instalado y mantenido por Coolpad pese a las objeciones de los clientes y usuarios.

 

Es común que algunos fabricantes de dispositivos instalen software sobre el sistema operativo móvil Android de Google para proporcionar funcionalidad adicional y que los dispositivos puedan personalizarse; incluso, algunos operadores de telefonía móvil instalan aplicaciones que recopilan datos sobre el rendimiento del dispositivo.

 

Tras un análisis detallado por Unit 42, grupo especializado en ataques avanzados de Palo Alto Networks, CoolReaper opera más allá de la recopilación de datos de uso básico, y actúa como un verdadero backdoor para los dispositivos de Coolpad. Al parecer la empresa también modificó la versión del sistema operativo Android para que sea mucho más difícil para los programas antivirus detectar esta entrada.

 

CoolReaper, ha sido identificado en 24 modelos de teléfonos vendidos por Coolpad, lo que significa un impacto potencial a más 10 millones de usuarios, esto según reportes de ventas de Coolpad.

 

Según lo observado por los investigadores, CoolReaper puede realizar diversas acciones que se que ponen en peligro los datos sensibles del usuario o los corporativos. Además, algunos agresores pueden aprovechar la vulnerabilidad del sistema del back-end de “CoolReaper”, para atacar.

 

Algunas de las acciones que CoolReaper puede ejecutar son:

 

  • Descargar, instalar o activar cualquier aplicación Android sin consentimiento del usuario o alguna notificación previa.

 

  • Borrar datos de usuario, desinstalar aplicaciones existentes o deshabilitar las aplicaciones del sistema.

 

  • Notificar a los usuarios de una falsa actualización OTA (Over The Air) que no actualiza el dispositivo, sino que instala aplicaciones no deseadas.

 

  • Enviar o insertar mensajes SMS o MMS arbitrarios en el teléfono.

 

  • Marcar números telefónicos de forma arbitraria.

 

  • Subir información sobre el dispositivo, su ubicación, uso de aplicaciones, llamadas y SMS historia a un servidor de Coolpad.

 

El malware fue descubierto después de numerosas quejas publicadas en internet, de clientes de Coolpad en China.

 

En noviembre, un investigador en colaboración con Wooyun.org había identificó una vulnerabilidad en el sistema de control de back-end para “CoolReaper”, lo que dejó de manifiesto cómo Coolpad controla esta “puerta” del software.

 

También, un sitio de noticias chino, informó sobre algunos detalles de la existencia de esta vulnerabilidad y sus abusos en un artículo publicado el 20 de noviembre de 2014.

 

A partir de 17 de diciembre de 2014, Coolpad no respondió a varias solicitudes de asistencia de Palo Alto Networks.