Un operador de telefonía móvil financiado por los Estados Unidos que ofrece teléfonos a través del programa Lifeline Assistance está vendiendo un dispositivo móvil preinstalado con no una, sino dos aplicaciones maliciosas. Assurance Wireless de Virgin Mobile ofrece el teléfono UMX U686CL como su opción más económica. Con solo $ 35 bajo el programa financiado por el gobierno, es una oferta atractiva. Sin embargo, lo que viene instalado es espantoso.

No solo malicioso, sino preinstalado

En octubre de 2019, vimos varias quejas en nuestro sistema de soporte de usuarios con un teléfono emitido por el gobierno que informaba que algunas de sus aplicaciones preinstaladas eran maliciosas. Compramos un UMX U686CL para ayudar mejor a nuestros clientes y verificar sus reclamos.

Informamos a Assurance Wireless de nuestros hallazgos y les preguntamos en blanco por qué un proveedor de servicios móviles financiado por los Estados Unidos está vendiendo un dispositivo móvil infectado con malware preinstalado. Después de darles el tiempo adecuado para responder, desafortunadamente nunca tuvimos respuesta. Esto es lo que descubrimos.

La primera aplicación cuestionable que se encuentra en el UMX U686CL se presenta como un actualizador llamado Actualización inalámbrica. Sí, es capaz de actualizar el dispositivo móvil. De hecho, es la única forma de actualizar el sistema operativo (SO) del dispositivo móvil. Por el contrario, también es capaz de instalar aplicaciones automáticamente sin el consentimiento del usuario.

Por lo tanto, detectamos esta aplicación como Android / PUP.Riskware.Autoins.Fota.fbcvd , un nombre de detección que debería ser familiar para Malwarebytes para los clientes de Android. Esto se debe a que la aplicación es en realidad una variante de Adups , una compañía con sede en China que fue atrapada recolectando datos de usuarios, creando puertas traseras para dispositivos móviles y, sí, desarrollando instaladores automáticos.

Desde el momento en que inicia sesión en el dispositivo móvil, Wireless Update inicia la instalación automática de aplicaciones. Para repetir: no se ha obtenido el consentimiento del usuario para hacerlo, no hay botones para hacer clic para aceptar las instalaciones, solo instala las aplicaciones por sí mismo. Si bien las aplicaciones que instala están inicialmente limpias y libres de malware, es importante tener en cuenta que estas aplicaciones se agregan al dispositivo con cero notificaciones o permisos requeridos por el usuario. Esto abre la posibilidad de que el malware se instale sin saberlo en una actualización futura de cualquiera de las aplicaciones agregadas por Wireless Update en cualquier momento. 

No solo preinstalado, sino inamovible

Con gran frustración debo escribir sobre otra aplicación maliciosa preinstalada inamovible que se encuentra en el teléfono UMX U686CL: la propia aplicación de configuración del dispositivo móvil funciona como un malware muy ofuscado que detectamos como Android / Trojan.Dropper.Agent.UMX . Debido a que la aplicación sirve como el tablero desde el cual se cambia la configuración, eliminarla dejaría el dispositivo inutilizable.

Android / Trojan.Dropper.Agent.UMX comparte características con otras dos variantes de cuentagotas de troyanos móviles conocidos. La primera característica es que usa los mismos nombres de receptor y servicio. El nombre del receptor termina con ALReceiver y el nombre del servicio termina con ALAJobService. Estos nombres solos son demasiado genéricos para hacer una correlación sólida. Pero, junto con el hecho de que el código es casi idéntico, y podemos confirmar con confianza una coincidencia. 

La única diferencia entre los dos códigos son sus nombres de variables. La variante más perceptible de este malware utiliza caracteres chinos para nombres de variables. Por lo tanto, podemos suponer que el origen de este malware es China.

Variante de malware con nombres de variables chinas

La segunda característica que comparte es que contiene una cadena codificada dentro del código. La decodificación de esta cadena revela un archivo de biblioteca oculto llamado com.android.google.bridge.LibImp.

Cadena decodificada con
com.android.google.bridge.LibImp

Tomemos un tiempo para ver cómo fluye el código mientras decodifica com.android.google.bridge.LibImp . Primero toma la cadena codificada y decodifica usando la decodificación Base64.

Cadena codificada
Decodificación Base64

Luego carga la biblioteca decodificada en la memoria usando DexClassLoader .

DexClassLoader cargando cadena decodificada

Una vez que la biblioteca se carga en la memoria, suelta otra pieza de malware conocida como Android / Trojan.HiddenAds .

Aunque todavía tenemos que reproducir la caída de malware adicional, nuestros usuarios han informado que, de hecho, una variante de HiddenAds se instala repentinamente en su dispositivo móvil UMX.

El origen del malware

Además de que el malware es de origen chino, cabe mencionar que este dispositivo móvil UMX también está hecho por una empresa china. Esto podría ser simplemente una coincidencia en lugar de un descontento explícito: no podemos confirmar si los fabricantes del dispositivo saben que hay malware chino preinstalado.

Sin resolución actual

Aunque tenemos una manera de desinstalar aplicaciones preinstaladas para los usuarios actuales de Malwarebytes , hacerlo en el UMX tiene consecuencias. Desinstale la Actualización inalámbrica y podría perderse actualizaciones críticas para el sistema operativo. Creemos que vale la pena el compromiso, y sugerimos hacerlo. 

Pero desinstale la aplicación de Configuración , y acaba de hacerse un peso de papel caro. Ofrecemos un intento de remediar dicho malware preinstalado en nuestro blog: El nuevo panorama del malware móvil preinstalado: código malicioso dentro . Ver sección: Intentando remediar.

El malware preinstalado empeora, como se anunció

Como he destacado en este blog y blogs anteriores, el malware preinstalado sigue siendo un flagelo para los usuarios de dispositivos móviles. Pero ahora que hay un dispositivo móvil disponible para su compra a través de un programa financiado por el gobierno de los EE. UU., Esto en adelante eleva (o reduce, como quiera que lo vea) el obstáculo sobre el mal comportamiento de las empresas de desarrollo de aplicaciones.

Budget no debe dictar si un usuario puede permanecer seguro en su dispositivo móvil. Descarta miles por un iPhone y escapa de la malicia preinstalada. ¿Pero utiliza fondos con ayuda del gobierno para comprar un dispositivo y pagar el precio en malware? Ese no es el tipo de existencia libre de malware que imaginamos en Malwarebytes.

Palabras finales sobre UMX U686CL

Con un UMX U686CL real en mis manos, puedo decirte que no es un teléfono malo. Se siente sólido en la mano y funciona sin problemas. Claro, no es el dispositivo móvil más rápido, pero es un teléfono inteligente totalmente capaz. En general, sin el malware, este dispositivo es una buena opción para cualquier persona con un presupuesto. 

Es importante darse cuenta de que UMX no está solo. Hay muchos informes de fabricantes de presupuesto que vienen preinstalados con malware, y estos informes están aumentando en número. Aunque no tengo la respuesta a este problema generalizado, puedo decir que los ciudadanos estadounidenses que usan el Programa de Asistencia Lifeline y muchos otros con un presupuesto ajustado merecen más.