Que un mòbil vingui amb certes apps preinstal·lades sol ser molest, però assumible. El més preocupant és que alguns usuaris estan rebent telèfons Android totalment nous amb un virus ja ficat de fàbrica, sense haver instal·lat res pel seu compte.
Segons una investigació de la companyia russa de ciberseguretat Kaspersky Lab, s'han identificat més de 13.000 smartphones Android nous que van sortir al mercat amb el codi maliciós conegut com Keenadu integrat al sistema. El més cridaner del cas és que aquests dispositius es van vendre a diferents països i que, en principi, els mateixos fabricants no serien conscients de la infecció.
Un virus preinstal·lat a fàbrica que afecta milers de mòbils
D'acord amb les dades facilitades per Kaspersky a mitjans russos com el diari Védomosti, la major part dels més de 13.000 terminals compromesos es van detectar a Rússia, on s'han comptabilitzat al voltant de 9.000 dispositius afectats. La resta s'hauria distribuït en altres mercats internacionals, cosa que evidencia un problema d'abast global a la cadena de producció.
El codi maliciós Keenadu no s'ha limitat al mercat rus. Casos similars s'han localitzat a mòbils venuts a Alemanya, Països Baixos, Japó i Brasil, cosa que suggereix que la contaminació s'ha produït en algun punt compartit de la cadena de subministrament o del procés de programació dels telèfons, i no només en un distribuïdor local concret.
El que fa especialment inquietant aquest incident és que els dispositius arribaven a mans dels usuaris com si fossin completament nous i legítims, sense signes aparents de manipulació. Des de la primera vegada que s'encén el terminal, el sistema ja carrega components maliciosos que l'usuari no ha instal·lat ni autoritzat.
La mateixa Kaspersky subratlla que el cas no es limita a una única marca o model, sinó que afecta diversos fabricants, cosa que reforça la hipòtesi d'un error o atac dirigit a la cadena de subministrament en comptes d'un únic proveïdor. Per a l'usuari final, distingir entre un mòbil net i un altre d'infectat és pràcticament impossible sense eines d'anàlisi avançades.
Des d'un punt de vista europeu, episodis com aquest tornen a posar sobre la taula la necessitat de reforçar els controls de seguretat en dispositius Android que arriben al mercat comunitari, així com de millorar les auditories sobre firmware i programari preinstal·lat que acompanya els terminals nous.
Com es cola Keenadu a la cadena de subministrament
Els analistes de Kaspersky apunten que Keenadu s'integra en algun moment entre la fabricació del dispositiu i la càrrega del sistema operatiu. En aquest tram intervenen diversos actors: assembladors, desenvolupadors de microprogramari, proveïdors de programari de tercers i empreses que afegeixen serveis personalitzats abans que el terminal arribi al distribuïdor.
En declaracions recollides per la premsa russa, l'expert de Kaspersky Dmitri Kalinin explica que Keenadu es camufla com si fos un component legítim del sistema. És a dir, adopta l'aparença d'arxius o serveis que semblen formar part del mateix Android o de les capes de personalització del fabricant, cosa que complica moltíssim la seva detecció amb les eines habituals.
Aquesta capacitat de fer-se passar per programari del sistema permet que el codi maliciós quedi incrustat al telèfon fins i tot abans que l'usuari el configuri per primera vegada. Per a qualsevol que ho encengui, el dispositiu es comporta aparentment com un mòbil normal, però en segon pla ja s'estan executant processos maliciosos. Això a més complica moltíssim la seva detecció amb les eines habituals.
Kalinin assenyala que una de les claus del problema és la manca d'un control exhaustiu de cada etapa del procés de producció. Segons la seva opinió, per evitar que es repeteixin situacions com aquesta és imprescindible auditar de manera minuciosa totes les fases en què es manipula el firmware i verificar qui aporta cada peça de programari que s'integra al sistema.
Quan un atacant aconsegueix comprometre una d'aquestes baules, obté una via directa per a injectar codi maliciós en milers de dispositius abans de la venda. D'aquesta manera, en lloc d'anar infectant mòbils un per un, s'assegura que surtin del magatzem contaminats, cosa que multiplica l'abast de l'atac i el benefici econòmic que pot obtenir després.
Aquest tipus d'incidents encaixa amb una tendència que preocupa la indústria: els anomenats atacs a la cadena de subministrament, en què l'objectiu no és només l'usuari final, sinó els proveïdors intermedis que participen en el desenvolupament de programari i maquinari. Per Europa i Espanya, on l'ús d'Android és massiu, és un avís clar de fins a quin punt és necessari endurir els requisits de certificació per a terminals importats.
Què fa Keenadu i per què resulta tan rendible per als ciberdelinqüents
El propòsit principal de Keenadu és, segons Kaspersky, explotar la publicitat en línia amb fins fraudulents. Els dispositius compromesos es converteixen en bots que simulen ser usuaris reals, generant clics als anuncis sense que el propietari del telèfon en sigui conscient.
A la pràctica, això significa que milers de mòbils treballen en segon pla fent clics automàtics en campanyes publicitàries, inflant artificialment les estadístiques de visites i generant ingressos per als delinqüents. A l'altra banda, empreses i anunciants paguen per una suposada audiència que, en realitat, són només dispositius infectats complint ordres.
Aquest tipus de frau publicitari s'ha consolidat com un negoci criminal molt lucratiu. Com més mòbils estiguin infectats, més clics poden produir i, per tant, majors són els beneficis econòmics. El cas de Keenadu encaixa de ple en aquesta lògica: una campanya capaç de propagar-se des de la fàbrica assegura una base de bots àmplia i estable.
Però el problema no es queda a la publicitat. Kaspersky adverteix que Keenadu també té la capacitat de prendre el control gairebé total del dispositiu. En funció de com es configuri, el codi maliciós pot descarregar mòduls addicionals, executar ordres de forma remota i fins i tot arribar a accedir a informació sensible emmagatzemada al telèfon.
Entre les dades potencialment exposades es troben contactes, missatges, historials de navegació, credencials guardades o informació d'apps bancàries, depenent del grau d'accés que el codi maliciós aconsegueixi obtenir. Encara que el focus inicial estigui al frau publicitari, la presència d'una porta del darrere d'aquest tipus obre la porta a altres usos maliciosos més agressius.
De cara a l'usuari mitjà a Espanya oa altres països europeus, el problema més gran és que el terminal pot semblar que funciona amb normalitat, llevat d'un possible augment en el consum de dades o de bateria. La majoria d'afectats ni tan sols sospita que el mòbil forma part d'una xarxa de bots o que la seva informació personal podria estar en risc, especialment quan es compra a importadors o botigues poc transparents.
La importància de reforçar controls i protecció en mòbils Android
El cas de Keenadu reforça la idea que la seguretat d'un telèfon no comença quan l'usuari l'encén, sinó abans, en els processos industrials i en les decisions dels fabricants sobre quin programari s'instal·la per defecte a cada terminal.
Els especialistes en ciberseguretat insisteixen que els productors de mòbils deuen supervisar amb lupa tots els proveïdors de firmware i aplicacions preinstal·lades. Qualsevol component de tercers que s'integri a la imatge del sistema s'ha de sotmetre a auditories independents i revisions de codi per evitar que es converteixi en una via dentrada per malware integrat de sèrie.
Per la seva banda, les autoritats reguladores de regions com la Unió Europea disposen de marge per exigir estàndards de seguretat més exigents als dispositius que es comercialitzen al seu territori. Això inclou des certificacions específiques per al programari de sistema fins a controls aleatoris sobre terminals nouvinguts al mercat per comprovar que no inclouen components maliciosos ocults.
Per als consumidors, encara que no tinguin capacitat d'auditar un microprogramari, sí que és recomanable adoptar algunes mesures: mantenir el sistema operatiu i les apps sempre actualitzats, instal·lar una solució de seguretat fiable i desconfiar de mòbils de procedència dubtosa o amb capes de personalització poc conegudes, especialment quan es compren a importadors o botigues poc transparents.
A l'àmbit empresarial, on es gestionen dades especialment sensibles, es torna gairebé obligatori establir polítiques de compra de dispositius més estrictes, prioritzant aquells fabricants que ofereixen compromisos clars en matèria d'actualitzacions de seguretat, auditories i control de la cadena de subministrament. Un mòbil amb un codi maliciós ocult de sèrie pot servir de porta dentrada a tota una xarxa corporativa.
Tot aquest episodi amb Keenadu funciona com a recordatori de fins a quin punt l'ecosistema Android, per la gran diversitat de fabricants i proveïdors, és especialment vulnerable a aquest tipus d'atacs. Encara que l'usuari final poc pot fer front a un codi maliciós que ja ve preinstal·lat, una combinació de major pressió regulatòria, controls interns més rigorosos i eines de seguretat adequades pot reduir de manera notable el risc que més telèfons arribin contaminats al mercat.
