- Millones de dispositivos Android llegan infectados con malware desde fábrica.
- El caso BadBox 2.0 evidencia la magnitud del problema en dispositivos de bajo coste.
- Google y el FBI han emprendido acciones para frenar estas botnets y proteger a los usuarios.
- El malware preinstalado permite fraudes, espionaje y ataques graves sin que los usuarios lo detecten.
En los últimos meses, se ha puesto de manifiesto un grave peligro que acecha a millones de usuarios de dispositivos Android: la presencia de malware preinstalado en aparatos que, a simple vista, parecen convencionales. Estos problemas de seguridad afectan sobre todo a productos económicos, como cajas Android TV, tabletas y proyectores que suelen venderse online a precios especialmente bajos, pero que pueden contener software malicioso oculto desde fábrica.
La preocupación ha escalado recientemente tras la revelación de campañas que han conseguido introducir código malicioso en más de 10 millones de dispositivos antes de su venta. Afectan especialmente a productos de bajo coste, en su mayoría fabricados en China y distribuidos por internet, que terminan en hogares de todo el mundo sin que los compradores tengan la más mínima sospecha de estar en riesgo.
BadBox 2.0: una amenaza global silenciosa
Uno de los casos más impactantes es el de la red criminal bautizada como BadBox 2.0. Este entramado se ha dedicado a vender decodificadores y dispositivos Android baratos con software malicioso integrado en la propia cadena de montaje. Al llegar a las manos del usuario y ser conectados a internet, estos aparatos pasan a formar parte de una red de dispositivos zombis perfectamente coordinada para cometer diversos delitos digitales sin que sus propietarios lo adviertan.
El malware convierte a estos dispositivos en herramientas para actividades como el fraude publicitario (simulando clics y visitas), el envío de spam, la creación de cuentas falsas, la distribución de ransomware e incluso la venta de acceso remoto a terceros como proxies residenciales para encubrir la identidad de ciberdelincuentes.
La estructura de esta red criminal, según denuncian Google, HUMAN Security y Trend Micro, es sofisticada y opera a escala internacional. No solo se encargaban del desarrollo de malware y manipulación en fábrica, sino también de la creación de apps camufladas y ejecución de campañas fraudulentas a gran escala.
Ante la magnitud del problema, Google ha reaccionado promoviendo acciones judiciales para bloquear los dominios vinculados a la coordinación de estos dispositivos infectados y ha actualizado Google Play Protect para mejorar la detección de apps sospechosas. Además, se ha reforzado la colaboración con el FBI para identificar y neutralizar a los responsables de la operación BadBox 2.0.
Cómo funciona el malware preinstalado y a qué dispositivos afecta
El método principal para diseminar este malware consiste en la venta masiva de dispositivos que ya traen el software oculto. El usuario, al encenderlos por primera vez, no nota ningún problema evidente, ya que los aparatos funcionan con normalidad. Sin embargo, en segundo plano, comienzan a recibir instrucciones y a operar para el beneficio de la red criminal.
Los modelos detectados con mayor frecuencia como comprometidos incluyen Android TV boxes X88 Pro 10, T95, MXQ Pro y QPLOVE Q9. Se trata de productos sin certificación oficial, generalmente de marcas desconocidas y con precios considerablemente más bajos de lo habitual en tiendas online. Por el momento, no se han identificado grandes marcas internacionales como víctimas de esta manipulación, lo que se traduce en un mayor riesgo en la gama más baja del mercado.
Una de las recomendaciones más citadas por los organismos de seguridad, incluido el FBI, consiste en apagar y desconectar inmediatamente de la red cualquier dispositivo sospechoso, especialmente si se observan comportamientos extraños como lentitud repentina, picos en el consumo de datos, aparición de anuncios inesperados o fallos inexplicables en las conexiones.
El malware preinstalado es muy difícil de eliminar, incluso tras realizar restauraciones de fábrica o usar antivirus convencionales. La infección suele estar incrustada en el firmware o en aplicaciones de sistema fundamentales, haciendo que la mayoría de usuarios no puedan eliminarla con facilidad.
Fraudes, riesgos y recomendaciones para mantenerse a salvo
El peligro de estos dispositivos va mucho más allá del mero fraude económico. Los equipos comprometidos pueden ser utilizados para ataques de denegación de servicio (DDoS), extorsión con ransomware, robos de datos personales y de acceso bancario, o incluso para participar en campañas de manipulación social en internet.
La infiltración de malware durante la fase de fabricación implica que la amenaza se origina mucho antes de que el usuario tenga control sobre el dispositivo. Por eso, ni la precaución al instalar únicamente aplicaciones de tiendas oficiales, ni la revisión manual de permisos suelen ser suficientes para evitar el riesgo.
Entre los síntomas que pueden indicar una posible infección se encuentran rendimientos anómalos, lentitud sin motivo, reinicios espontáneos o la aparición constante de publicidad. Si estos problemas coinciden con la compra de un dispositivo nuevo y especialmente económico, es recomendable seguir los siguientes consejos:
- Adquirir siempre equipos certificados o de marcas reconocidas.
- Comprobar si el dispositivo está verificado con Google Play Protect antes de usarlo.
- Evitar instalar apps desde fuentes no oficiales o tiendas alternativas.
- Estar alerta ante ofertas excesivamente baratas en tecnología, especialmente si el vendedor no es conocido.
- En caso de sospecha, apagar y desconectar cualquier aparato y buscar ayuda especializada.
Para los usuarios preocupados por la seguridad de sus dispositivos, es importante recordar que el malware preinstalado suele actuar de manera invisible, sin síntomas inmediatos aparentes. Sin embargo, cualquier comportamiento extraño debería alertar y motivar la desconexión preventiva del equipo afectado.
La revelación de la operación BadBox 2.0 y la existencia de botnets formadas por productos Android de bajo coste reflejan la magnitud del desafío que representan estas amenazas. Comprar tecnología económica y sin garantías puede resultar mucho más costoso en términos económicos, de privacidad y de seguridad personal a largo plazo.