Los investigadores de Panda Security han detectado y difundido que Vodafone España les ha vendido un HTC Magic infectado con malware. Concretamente con un cóctel vírico conformado por un cliente de la botnet Mariposa, el gusano Conficker y el malware Lineage para robo de contraseñas.
La sorpresa se descubrió cuando conectaron el teléfono al ordenador a través del cable USB y el antivirus detectó que los ficheros autorun.inf y autorun.exe, alojados en la microSD, eran maliciosos. Los archivos estaba programados para infectar cada PC en el que fueran enchufados.
Analizando el bot de la famosa red Mariposa descubrieron que esta botnet ya no figura bajo la administración del grupo de hackers españoles “DDP Team”, sino de alguien llamado “tnls”. El cliente se conecta mediante el protocolo UDP a unos servidores que Panda ha detallado en su blog y recibe instrucciones. En otras palabras, el bot llama a casa para que le digan qué hacer, probablemente robar los credenciales del usuario del teléfono.
Cojamos con pinzas esta noticia. Claro que, afortunadamente, la Magic con sorpresa ha ido a parar a manos de expertos en seguridad, pero aun así es probable que se trate de un caso puntual. Me explico: los ficheros en cuestión estaban alojados en la microSD con formato FAT o FAT32 (Windows no puede montar el sistema de la memoria interna donde se aloja Android), y por norma general estas tarjetas de memoria extraíbles vienen vacías, recién formateadas. Por lo tanto, pienso que podría tratarse de un terminal manipulado, quizá devuelto a Vodafone después de una primera compra o usado por alguien que tuviera acceso a él antes de ser vendido. Esperemos que se aclare pronto y no se desencadenen más casos.