Los investigadores de TrendMicro han alertado de la existencia de teléfonos móviles Android que llegan
al usuario preinfectados, fruto de una campaña que aprovecha la distribución global de estos dispositivos
para acceder a datos que posteriormente venden a anunciantes.
El ‘malware’ Triada se identificó en 2016 como un troyano para Android que instalaba aplicaciones
adicionales en los dispositivos, para funciones de ‘spam’ y engañar a las estadísticas. Posteriormente,
mutó y se convirtió en una puerta trasera de Android.
Esta nueva versión de Triada permitió que se introdujera en la cadena de producción de algunos
modelos de móviles, de manera que estos llegaban al mercado ya afectados por una puerta trasera que
permitía infectar el dispositivo, como explicó Google en 2019.
A partir de esta investigación, TrendMicro ha descubierto una ‘botnet’ potenciada por ataques que
comprometieron la cadena de suministro móvil, vinculada a un actor malicioso que han identificado como Lemon Group, y que usa el ‘malware’ Guerrilla. Este, en algún momento, ha trabajado junto con los
responsables de Triada.
La amenaza que protagoniza Lemon Group, firma vinculada a los negocios de Big Data, infecta los
‘smartphones’ con Guerrilla, de tal forma que instala en ellos una puerta trasera que permite la
comunicación con un servidor remoto desde el que se comprueba si existen actualizaciones maliciosas
para instalar.
Son precisamente estas actualizaciones las que recogen datos de la actividad del usuario, que
posteriormente Lemon Group vende con fines publicitarios, como explican desde TrendMicro en su blog.
Según estiman, los móviles afectados se han distribuido en más de 180 países y pertecen a distintas
marcas que utilizan Android como sistema operativo. Estiman que el número asciende a 8,9 millones, el
3,85 por ciento en Europa, aunque la mayor parte se han determinado en Asia (55,26%).
Los investigadores han apuntado que este esquema se ha extendido a otros dispositivos del Internet de
las Cosas (IoT), como los equipos Android TV. En este sentido, una investigación compartida por
TechCrunch ha desvelado que algunos dispositivos de ‘streaming’ Android TV se han comercializado en
Amazon con ‘malware’ precargado, capaz de lanza ataques coordinados.
