700 millones de móviles Android chinos venían con una puerta trasera preinstalada

Una de las ventajas que tiene Android es que, al ser código libre, cualquier fabricante puede compilar su propio sistema y modificarlo a su gusto (hasta cierto punto, siguiendo las guías que establece Google). El problema es que algunos fabricantes, en este caso chinos, pueden tomarse esto con demasiada libertad, y pueden aprovechar para obtener datos de los usuarios que utilizan sus teléfonos.

Malware incluido en móviles chinos. BLU, entre las más afectadas

Este es el caso de la empresa BLU, una marca china de bajo coste relativamente popular. Tal y como ha descubierto Kryptowire. BLU vende algunos de sus teléfonos en tiendas importantes como es el caso de Amazon en España. El modelo en el que se descubrió la puerta trasera es el BLU R1 HD. Kryptowire ha avisado de inmediato a Amazon, a Google, a BLU y a AdUps.

La puerta trasera lo que hacía era enviar información de los usuarios a servidores en China. En concreto, la información que se enviaba tenía que ver con los datos personales sobre la actividad del teléfono y del usuario, e incluía el número de teléfono, datos de localización, el contenido de los mensajes de texto, llamadas realizadas (y a qué números), lista de contactos, y qué aplicaciones tenían instaladas los usuarios.

Pensado principalmente para China

La compañía detrás del malware es Shanghai AdUps Technologies, que habría diseñado esta puerta trasera para ofrecérsela a fabricantes chinos con el fin de analizar el comportamiento de sus consumidores para fines publicitarios. En total, son 700 millones de dispositivos afectados y con el software AdUps instalado, vendidos casi todos ellos en China.

El malware estaba pensado inicialmente para el mercado chino, pero BLU se ‘olvidó’ de quitarlo en los dispositivos que vende en el resto del mundo, entre los que se incluye Estados Unidos o la Unión Europea, afectando también a los dispositivos vendidos en España. Estos datos, según ha dicho un abogado de AdUps, los recopilaba la empresa privada, y no se enviaban en ningún caso al gobierno chino. La funcionalidad que tenía la aplicación, según decían en AdUps, era filtrar llamadas y mensajes de spam, y decidir cuando llegaban las actualizaciones vía OTA.

Envío de dos aplicaciones a cuatro servidores chinos

Las direcciones de los servidores que reciben la información son bigdata.adups.com, bigdata.adsunflower.com, bigdata.adfuture.cn, y bigdata.advmob.cn. Los datos de los usuarios son enviados en formato JSON cifrados con DES, el cual los investigadores de Kryptowire consiguieron descifrar. La información de las llamadas de los usuarios se enviaba cada 72 horas, mientras que la de la localización y uso de aplicaciones se hacía cada 24 horas.

Según ha afirmado BLU, los dispositivos afectados no llegan a 120.000, y la aplicación que recopilaba la información ha sido convenientemente parcheada eliminando la funcionalidad espía. Las aplicaciones que hasta ahora recopilaban la información son com.adups.fota.sysoper y com.adups.fota. Ambas son aplicaciones del sistema, y hace falta ser root para poder eliminarlas.

Fuente: Kryptowire | adslzone

- Todos los logos o imagenes mencionados en esta web son propiedad de sus empresas correspondientes -