La popularidad del sistema operativo Android ha hecho que esté presente en una amplia variedad de dispositivos, desde teléfonos móviles y tablets hasta Smart TVs, reproductores multimedia, proyectores, vehículos y electrodomésticos inteligentes.
Su versatilidad y código abierto han permitido a fabricantes de todo el mundo adoptar esta plataforma, sin embargo, esta apertura también ha convertido a Android en un blanco recurrente para amenazas de ciberseguridad.
Recientemente, la Oficina Federal de Investigación de Estados Unidos (FBI) ha emitido una advertencia sobre un sofisticado malware conocido como BadBox, que está afectando a millones de dispositivos Android.
El origen del problema se encuentra en una cepa de software malicioso basada en Triada, uno de los troyanos móviles más avanzados descubiertos hasta ahora, según la empresa de ciberseguridad Kaspersky, que lo identificó por primera vez en 2016.
Qué hace el peligroso malware
El troyano BadBox tiene la capacidad de eludir las protecciones de seguridad integradas en el sistema operativo de Google mediante exploits de rooteo. Al comprometer procesos fundamentales del sistema, como el proceso Zygote, los atacantes obtienen un control casi total del dispositivo.
Esto les permite distribuir otros programas maliciosos, ocultar sus actividades y usar el dispositivo infectado como parte de una red para realizar actividades ilícitas.
Dispositivos previamente infectados
Aunque Google lanzó actualizaciones para cerrar las brechas utilizadas por Triada, los ciberdelincuentes han encontrado nuevas formas de infiltrar sus códigos. Uno de los métodos más alarmantes ha sido el ataque a la cadena de suministro, es decir, la infección de dispositivos antes de que lleguen a manos de los consumidores.
En 2019, Google confirmó que miles de productos ya venían preinfectados de fábrica, especialmente los que se comercializan fuera del ecosistema de dispositivos certificados por Play Protect.
Señales de alerta y recomendaciones del FBI
- El dispositivo establece conexiones automáticas a mercados de aplicaciones maliciosas o desconocidas, sin que el usuario lo solicite.
- Se presentan solicitudes sospechosas para desactivar Play Protect, la herramienta de seguridad de Google que detecta y bloquea aplicaciones potencialmente peligrosas.
- Se observa actividad inusual en el consumo de datos o en el tráfico de red, incluso cuando el dispositivo no está en uso activo, lo que podría indicar que está operando como parte de una red controlada por ciberdelincuentes.
Recomendaciones del FBI si se detectan estas señales
- Desconectar inmediatamente el dispositivo de la red doméstica, como medida preventiva para evitar que otros aparatos conectados sean comprometidos.
- Aunque en algunos casos el dispositivo pueda seguir funcionando, el FBI recomienda desactivar sus funciones inteligentes y prescindir de cualquier vínculo con aplicaciones o plataformas en línea.
- Evitar toda interacción con servicios digitales desde el aparato sospechoso, ya que podría facilitar el acceso de los atacantes a información personal o a otras partes de la red local.
Dispositivos de bajo coste, un riesgo potencial
La mayoría de las infecciones recientes se han detectado en dispositivos Android de bajo precio, frecuentemente fabricados por marcas genéricas o poco reconocidas.
Estos productos, muchas veces basados en el Proyecto de Código Abierto de Android (AOSP), no siempre cumplen con los estándares de seguridad exigidos por Google. En marzo de este año, se descubrió que una versión más reciente del malware, conocida como BadBox 2.0, estaba presente en más de un millón de dispositivos, según investigaciones de Human Security.
Esta nueva generación de troyanos, como BigBox (otro derivado de Triada), permite a los atacantes realizar acciones como fraude publicitario, generación de cuentas falsas en plataformas como Gmail o WhatsApp, uso del dispositivo como proxy residencial e incluso la infección de otros aparatos conectados a la misma red WiFi.
