Google destaca la importancia de Play Services contra el troyano Triada y otras amenazas en una publicación de blog publicada recientemente. Triada es una familia de troyanos que había infectado algunos teléfonos Android hace unos años. Kaspersky Labs, que lo descubrió en 2016, lo llamó “uno de los troyanos móviles más avanzados”. El año que viene, Dr. Web informó sobre algunos dispositivos afectados, a saber, “Leagoo M5 Plus, Leagoo M8, Nomu S10 y Nomu S20”.
LEA TAMBIÉN: El Tribunal Superior de Delhi ordena a Asus que deje de vender Zenfones en India por ahora
¿Cómo se las arregló Triada para colarse?
Algunos fabricantes de dispositivos que carecen de los recursos necesarios para todo el desarrollo de software de un extremo a otro delegan la tarea en proveedores externos. Estas partes pueden jugar con el software base y personalizarlo con funciones adicionales. El problema surgió cuando los malhechores lograron incrustar el troyano directamente en las bibliotecas del sistema. Los fabricantes de equipos originales que desconocen lo mismo lo empaquetaron dentro de sus teléfonos.
Fuente: GoogleAhora, Triada era un módulo del sistema que tenía todos los privilegios de administrador para manipular cualquier aplicación en el dispositivo. Podría explotar el núcleo del proceso Zygote del sistema operativo Android, que maneja el inicio de cada nuevo proceso de aplicación.
Las aplicaciones de Triada lograron copiar los nombres de los paquetes de las aplicaciones de Google Play. Los atacantes lo utilizaron como una puerta trasera para instalar en secreto módulos y scripts adicionales, publicar anuncios como adware. Incluso podrían desviar importantes credenciales bancarias y datos privados.
Peor aún, Triada no se podía eliminar simplemente como cualquier aplicación de usuario. Para eliminar la amenaza, se tuvo que actualizar la ROM completa. Entonces, obtienes la esencia de la gravedad.
Ok, Google: ¿Nuestros dispositivos son seguros?
Google reconoció el informe de Dr. Web el jueves, aunque los nombres de los fabricantes fueron barridos bajo la alfombra. El estudio de caso alega la posibilidad de que haya varios culpables por parte del proveedor.
Lukasz Siewierski, miembro del equipo de seguridad y privacidad de Android de Google, escribió:
Triada infecta las imágenes del sistema del dispositivo a través de un tercero durante el proceso de producción. A veces, los OEM quieren incluir funciones que no forman parte del proyecto de código abierto de Android, como el desbloqueo facial. El OEM puede asociarse con un tercero que puede desarrollar la función deseada y enviar la imagen completa del sistema a ese proveedor para su desarrollo. Según el análisis, creemos que un proveedor que usa el nombre Yehuo o Blazefire infectó la imagen del sistema devuelta con Triada.
El gigante de Silicon Valley ha solucionado los problemas de seguridad antes mencionados. Google ha ayudado a los fabricantes a eliminar la aplicación maliciosa de la imagen del firmware. También pone énfasis en Google Play Protect, que permitió a la empresa desinfectar de forma remota los teléfonos comprometidos.
Mike Cramp, investigador de seguridad senior del proveedor de seguridad móvil Zimperium, estuvo de acuerdo con las evaluaciones de que las capacidades de Triada eran avanzadas.
“Por lo que parece, Triada parece ser una pieza de malware relativamente avanzada que incluye capacidades de C&C y, al principio, capacidades de ejecución de shell”, escribió Cramp en un correo electrónico. “Vemos mucho adware, pero Triada es diferente en que usa C&C y otras técnicas que normalmente veríamos más en el lado del malware malicioso. Sí, todo esto se usa para entregar anuncios, pero la forma en que lo hacen es más sofisticada que la mayoría de las campañas de adware. Es prácticamente un “adware con esteroides”.
Google admite que es una tarea ardua asegurar los dispositivos Android debido a la participación de los OEM, especialmente en casos que involucran a proveedores externos. Sin embargo, como medida de precaución, ofrece un “Build Test Suite” para escanear malware como Triada para ayudar a aliviar los riesgos de seguridad.
LEA TAMBIÉN: El teléfono LG W Series empleará un chipset de 12 nm y una batería de 4000 mAh: especificaciones clave y fuga de precios
La empresa destaca la importancia de los servicios de Google Play en la seguridad y protección de nuestros datos. Play Protect, que forma parte de él, busca amenazas con frecuencia. Esto podría resultar un argumento válido y una armadura eficaz durante su actual conflicto con la UE.
