Este es un pensamiento aterrador: los dispositivos móviles pronto pueden venir con malware preinstalado en las aplicaciones del sistema requeridas. Si bien puede sonar como una sombría predicción, el malware móvil preinstalado es una realidad desafortunada del futuro.

En el pasado, hemos visto malware preinstalado con la notoria  amenaza Adups , entre otros . «Preinstalado» significa que el malware ya está instalado en un dispositivo a nivel del sistema, por lo tanto, no se puede eliminar; Sólo discapacitados. Sin embargo, la remediación de estas iteraciones de malware preinstalado es posible mediante el uso de una solución alternativa para desinstalar aplicaciones para el usuario actual. Este método implica conectar el dispositivo móvil a una PC y usar la herramienta de línea de comandos ADB Siga nuestra guía, instrucciones de eliminación para Adups , para obtener más información.

Aunque este método es un poco tedioso, funciona para remediar el malware. En contraste, la remediación de nuevas versiones de malware preinstalado se ha vuelto mucho más difícil. Ahora estamos viendo que los autores de malware se dirigen a las aplicaciones del sistema que se requieren para que el dispositivo funcione correctamente. Al inyectar código malicioso dentro de estas aplicaciones necesarias, los actores de amenazas han cambiado el panorama del malware preinstalado para peor.

Tipos de aplicaciones preinstaladas

Hay dos tipos de aplicaciones preinstaladas, según la ubicación de las aplicaciones en el dispositivo. Esta ubicación también determina la importancia de la aplicación.

La primera ubicación es / system / app /.  Las aplicaciones en esta ubicación suelen ser algo que usted desea tener, pero no es crítico para que el dispositivo se ejecute. Por ejemplo, las aplicaciones que contienen funcionalmente para la cámara, Bluetooth, radio FM en el dispositivo o visualización de fotos se almacenan en esta ubicación. Esta ubicación es también donde el dispositivo fabrica caché lo que algunos pueden considerar bloatware . Desinstalar algunas de estas aplicaciones puede degradar la experiencia del usuario, pero no impedirá que el dispositivo funcione.

La otra ubicación es / system / priv-app /. Aquí es donde residen las aplicaciones significativamente importantes. Por ejemplo, las aplicaciones como la configuración y la IU del sistema, que incluyen la funcionalidad de los botones de retroceso / inicio en los dispositivos Android, se almacenan aquí. En otras palabras, las aplicaciones no pueden desinstalarlas sin romper el teléfono. Lamentablemente, el último malware preinstalado se dirige a esta ubicación.

La evidencia

A la luz de este nuevo malware aterrador y preinstalado, veamos dos casos de estudio.

Estudio de caso 1: instalador automático de Riskware dentro de la interfaz de usuario del sistema

El dispositivo es un THL T9 Pro. La infección es Android / PUP.Riskware.Autoins.Fota.INS . Aunque el código parece similar al malware Adups preinstalado conocido, está enredado dentro de la interfaz de usuario de sistema crítica del sistema, en lugar de estar en una aplicación independiente como un UpgradeSys. La infección causa dolores de cabeza, ya que instala repetidamente variantes de Android / Trojan.HiddenAds . No se sabe si esto es lo que hacen los Adups, o, por otro lado, si el código se tomó del Instalador Automático de Adups y se insertó en la interfaz de usuario del sistema. Ninguno de los dos escenarios es bueno.

Estudio de caso 2: Monitor dentro de la configuración

Esta vez, el dispositivo es un UTOK Q55. La infección es Android / Monitor.Pipe.Settings . La categoría «Monitor» es un subconjunto de programas potencialmente no deseados (PUP) . Como su nombre lo indica, las aplicaciones de Monitor recopilan e informan información confidencial del dispositivo. Además, esta aplicación de Monitor en particular está codificada en la importante aplicación de Configuración. En efecto, la aplicación utilizada para desinstalar otras aplicaciones tendría que ser desinstalada por sí misma para remediarla: pura ironía.

Intentando remediar

Aquí radica el mayor problema con estas infecciones: actualmente no existe una buena manera de remediarlas. He trabajado con varios clientes con estas infecciones, pero a pesar de mis intentos, todavía tengo que encontrar un buen trabajo. Sin embargo, puedo ofrecer alguna orientación. Si se puede encontrar una versión limpia de la aplicación del sistema para reemplazar la versión maliciosa, es posible que pueda reemplazarla. Querrá buscar aplicaciones del sistema que coincidan con la versión actual del sistema operativo Android del dispositivo. Si lo encuentra, puede intentar usar el siguiente método:

  • Lea la exención de responsabilidad de las  instrucciones de eliminación de Adups .
  • Siga los pasos en Restauración de aplicaciones en el dispositivo (sin restablecimiento de fábrica) en las instrucciones de eliminación de Adups para guardar la <ruta completa de la apk> correcta de la aplicación del sistema que se reemplazará.
  • Descargue una versión limpia de la aplicación del sistema a su PC.
    • Puede usar el popular sitio VirusTotal  para determinar si está limpio o no.
  • Mueva la aplicación del sistema desde su PC a su dispositivo.
    • adb push <ruta del archivo de PC> \ <nombre de archivo de clean version.apk> / sdcard / Download / <nombre de archivo de clean version.apk>
  • Desinstale la versión antigua y maliciosa de la aplicación del sistema.
    • adb shell pm uninstall -k –user 0 <nombre del paquete de la aplicación del sistema malicioso>
  • Instala la nueva versión de la aplicación del sistema.
    • adb shell pm install -r –user 0 / sdcard / Download / <nombre de archivo de versión limpia.apk>
  • A ver si funciona.
    • Errores comunes de falla  :
      • [INSTALL_FAILED_VERSION_DOWNGRADE]
      • [INSTALL_FAILED_UPDATE_INCOMPATIBLE]
      • [INSTALL_FAILED_OLDER_SDK]
    • Si la nueva versión no se instala, puede volver a la aplicación del sistema anterior.
      • adb shell pm install -r –user 0 <ruta completa de la apk guardada en el segundo paso>

Como se indicó anteriormente, todavía tengo que encontrar una versión de cualquiera de las infecciones encontradas que se instalen con éxito. Si necesita asistencia, no dude en publicar en nuestro foro Ayuda y soporte de eliminación de malware para dispositivos móviles .

¿Qué se puede hacer realmente?

Actualmente, el mejor método para tratar estas infecciones es:

  1. Manténgase alejado de los dispositivos con estas infecciones. Aquí están los fabricantes / modelos que hemos visto hasta ahora que han sido afectados:
    • THL T9 Pro
    • UTOK Q55
    • BLU Studio G2 HD
  2. Si ya has comprado uno, devuelve el dispositivo.
  3. Si ya compró el dispositivo y no puede devolverlo, póngase en contacto con el fabricante.

Frustración extrema

Como investigador de malware para dispositivos móviles, no me duele en absoluto escribir sobre el malware que actualmente no podemos remediar. Sin embargo, el público necesita saber que este tipo de infecciones existen en la naturaleza. Nadie debería tener que tolerar tales infecciones en ningún dispositivo móvil, independientemente de su precio y / o notoriedad. Seguiré buscando métodos para tratar estas infecciones. Mientras tanto, mantente a salvo allí.

Muestras de APK

Detección: Android / PUP.Riskware.Autoins.Fota.INS 
MD5: 9E0BBF6D26B843FB8FE95FDAD582BB70 
Nombre del paquete: com.android.systemui

Detección: Android / Monitor.Pipe.Settings 
MD5: DC267F396FA6F06FC7F70CFE845B39D7 
Nombre del paquete: com.android.settings