Da igual el móvil que compremos: todos vienen con aplicaciones preinstaladas. Estas apps nos facilitan el uso del móvil nada más arrancarlo por primera vez, aunque a cambio de ello también tenemos hasta decenas de apps que no vamos a necesitar y que tendremos que borrar. Ahora, la propia Google ha reconocido que hay millones de móviles Android con apps preinstaladas que incluyen malware.
Así lo ha revelado Project Zero, la división de seguridad de Google encargada de encontrar vulnerabilidades y fallos en el software que usamos a diario. En el pasado hemos visto cómo muchas apps que se llegaban a colar en la Play Store robaban datos de los usuarios o instalaban malware adicional. Esto no era un gran problema si tenemos en cuenta que esas apps había que instalarlas manualmente. El peligro de que esto se pase a las apps preinstaladas tiene que ver con que, cuando un usuario se compra un móvil, éste se cree que está limpio.
Sin embargo, millones de nuevos móviles no lo están, e incluso aunque las apps incluidas no sean nocivas, sí que éstas pueden tener mecanismos para descargar contenido que sí lo sea. Normalmente los móviles tienen al menos 100 aplicaciones preinstaladas, incluyendo las que el usuario puede ver y otras del sistema que están ocultas. La cifra puede llegar a dispararse a 400 en algunos terminales.
Maddie Stone ha publicado en la Black Hat [PDF] lo que ha descubierto su equipo, alertando de que es necesario un análisis y unas auditorias mucho más exhaustivas de los terminales que llegan al mercado. Estos análisis deben hacerse sobre todo en los móviles basados en Android’s Open-Source Project (AOSP), que viene preinstalado en los móviles más baratos y de marcas blancas en muchas ocasiones.
Más de 200 fabricantes de móvil tenían apps con malware preinstalado
De todos los terminales analizados, Google afirma que más de 200 fabricantes diferentes tenían software que contenía malware. Esto es relativamente fácil de hacer por los atacantes, ya que sólo tienen que convencer a una compañía y pagarles para que preinstalen una app en miles de móviles con la que luego acceder al terminal de manera remota.
De todo el malware que encontraron, hubo dos campañas que fueron realmente preocupantes: Chamois y Triada. Chamois mostraba anuncios falsos, instalaba apps indeseadas en segundo plano, descargaba plugins, e incluso podían enviar mensajes SMS a números de pago. El malware estaba preinstalado en 7,4 millones de dispositivos. Triada es una versión anterior a Chamois, y también muestra anuncios e instala apps. Entre marzo de 2018 y marzo de 2019, la investigadora afirma que han conseguido reducir de 7,4 millones a sólo 700.000 los dispositivos que traían Chamois preinstalado.
Protegernos ante estas infecciones es bastante difícil. Entre lo poco que podemos hacer encontramos el comprar siempre móviles de marcas reputadas y no copias chinas en AliExpress o DHGate. También es recomendable eliminar todas las apps que podamos, y si podemos rootear el móvil, es conveniente hacerlo para eliminar aquellas de las que sospechemos, haciendo previamente una copia de seguridad del sistema por si rompemos algo.