Descubren malware preinstalado en smartphones de Transsion, un fabricante low-cost enfocado en países emergentes

Cristian Rus

Transsion es un fabricante desmartphonesdel que la mayoría de personas en Europa probablemente nunca han oído hablar. Esto se debe a que su principal mercado es África y países emergentes de Asia. Con precios relativamente bajos en comparación con otros fabricantes, ha ganado mercado en estas áreas. Ahora, una investigación ha sacado a la luz cómoalgunos de sus teléfonos traenmalwarede fábrica. Algo quese ha visto previamente en la industria de los PCs.

Suscripciones y compras no autorizadas

En una investigación de seguridad de Secure-D ypublicada por BuzzFeed Newsdetallan cómo buscaron el origen detransacciones sospechosas que recibían usuarios con algunos modelos de teléfonos de Transsion. Desde marzo de 2019 descubrieron una cantidad inusualmente grande de transacciones que se originaban en teléfonos Transsion Tecno W3 en Etiopía, Camerún, Egipto, Ghana y Sudáfrica. Además de otras transacciones fraudulentas en 14 países más. En total comentan que hasta la fecha han registrado un total de 19,2 millones de transacciones.

¿Cuál es el problema de estas transacciones? Quese habían hecho en secreto y sin el permiso de los usuarios. Diferentesmalwareshan suscrito a los usuarios a servicios no autorizados o han realizado compras no solicitadas. Todo ello desde alrededor de unos 200.000smartphones.

Para comprobar si estaban en lo cierto, la empresa de seguridad compró diferentes modelos desmartphonesy los conectó a varias redes distintas. Así es como pudieron confirmar que los teléfonos Tecno W2, un modelo del fabricante Transsion, venía conunmalwarepreinstalado llamado Triada. Triada no era el que atacaba como tal, sino queinstalaba un troyano llamado xHelper. De xHelperhemos hablado en alguna ocasión, se trata de unmalwarecapaz de persistir en un dispositivo incluso al restaurarlo de fábrica.

Secure-D observó que xHelper, si tiene una conexión a la red y se dan una serie de condiciones, busca servicios de suscripción o compras que pueda hacer. Estas transacciones no son aleatorias, sino que van a parar a las arcas del atacante que ha colocado elmalware. Las compras son automáticas e invisibles, dice la firma de seguridad. Además aprovechan el hecho de que en muchos lugares las compras digitales se basan en el crédito de prepago ya adquirido por los usuarios, por lo que lo consumen sin tener que pasar por intermediarios como el banco que pueden frenar estas compras.

¿Culpa de Transsion? Probablemente no, todo apunta a quede algún modo el atacante pudo infiltrarse en alguno de los SDKsque preinstala Transsion a sus teléfonos. De hecho en unainvestigación de seguridad de Googledel año pasado sobre Triada indican que esta es una de las formas en las que Triada actúa. Transsion ha publicado diferentes actualizaciones de seguridad para sus usuarios que mitigan esto, aunque no son actualizaciones automáticas y depende del usuario instalarlas.

Más información |BuzzFeed NewsyAndroid Authority