Descubren malware preinstalado en smartphones de Transsion, un fabricante low-cost enfocado en países emergentes

Descubren malware preinstalado en smartphones de Transsion, un fabricante low-cost enfocado en países emergentes
6 comentarios Facebook Twitter Flipboard E-mail

Transsion es un fabricante de smartphones del que la mayoría de personas en Europa probablemente nunca han oído hablar. Esto se debe a que su principal mercado es África y países emergentes de Asia. Con precios relativamente bajos en comparación con otros fabricantes, ha ganado mercado en estas áreas. Ahora, una investigación ha sacado a la luz cómo algunos de sus teléfonos traen malware de fábrica. Algo que se ha visto previamente en la industria de los PCs.

Suscripciones y compras no autorizadas

En una investigación de seguridad de Secure-D y publicada por BuzzFeed News detallan cómo buscaron el origen de transacciones sospechosas que recibían usuarios con algunos modelos de teléfonos de Transsion. Desde marzo de 2019 descubrieron una cantidad inusualmente grande de transacciones que se originaban en teléfonos Transsion Tecno W3 en Etiopía, Camerún, Egipto, Ghana y Sudáfrica. Además de otras transacciones fraudulentas en 14 países más. En total comentan que hasta la fecha han registrado un total de 19,2 millones de transacciones.

Ddd

¿Cuál es el problema de estas transacciones? Que se habían hecho en secreto y sin el permiso de los usuarios. Diferentes malwares han suscrito a los usuarios a servicios no autorizados o han realizado compras no solicitadas. Todo ello desde alrededor de unos 200.000 smartphones.

Para comprobar si estaban en lo cierto, la empresa de seguridad compró diferentes modelos de smartphones y los conectó a varias redes distintas. Así es como pudieron confirmar que los teléfonos Tecno W2, un modelo del fabricante Transsion, venía con un malware preinstalado llamado Triada. Triada no era el que atacaba como tal, sino que instalaba un troyano llamado xHelper. De xHelper hemos hablado en alguna ocasión, se trata de un malware capaz de persistir en un dispositivo incluso al restaurarlo de fábrica.

xHelper

Secure-D observó que xHelper, si tiene una conexión a la red y se dan una serie de condiciones, busca servicios de suscripción o compras que pueda hacer. Estas transacciones no son aleatorias, sino que van a parar a las arcas del atacante que ha colocado el malware. Las compras son automáticas e invisibles, dice la firma de seguridad. Además aprovechan el hecho de que en muchos lugares las compras digitales se basan en el crédito de prepago ya adquirido por los usuarios, por lo que lo consumen sin tener que pasar por intermediarios como el banco que pueden frenar estas compras.

¿Culpa de Transsion? Probablemente no, todo apunta a que de algún modo el atacante pudo infiltrarse en alguno de los SDKs que preinstala Transsion a sus teléfonos. De hecho en una investigación de seguridad de Google del año pasado sobre Triada indican que esta es una de las formas en las que Triada actúa. Transsion ha publicado diferentes actualizaciones de seguridad para sus usuarios que mitigan esto, aunque no son actualizaciones automáticas y depende del usuario instalarlas.

Más información | BuzzFeed News y Android Authority

Comentarios cerrados
Inicio