Un kit de desarrollo de software creado por la compañía de servicios de Internet china, Baidu, es utilizado por miles de aplicaciones Android y contiene una característica que da a los atacantes acceso de puerta trasera a los dispositivos de los usuarios.

El SDK se llama Moplus y, mientras que no está abierto al público, se integró en más de 14 mil aplicaciones de las cuales sólo alrededor de 4 mil fueron creadas por Baidu, dijeron en un blog los investigadores de seguridad de Trend Micro.

La compañía estima que las aplicaciones afectadas son utilizadas por más de 100 millones de usuarios.

Según el análisis de Trend Micro, el SDK Moplus abre un servidor HTTP en los dispositivos donde se instalan las aplicaciones afectadas; el servidor no utiliza la autenticación y acepta solicitudes de cualquier usuario de Internet.

Peor aún, mediante el envío de solicitudes a este servidor HTTP oculto, los atacantes pueden ejecutar comandos predefinidos que se implementaron en el SDK. Estos pueden ser utilizados para extraer información sensible como datos de localización y consultas de búsqueda; así como añadir nuevos contactos, subir archivos, hacer llamadas telefónicas, mostrar mensajes falsos e instalar aplicaciones.

En los dispositivos que han sido "rooteados" (con privilegios de administración), el SDK permite la instalación silenciosa de las aplicaciones, lo que significa que a los usuarios no se les pedirá confirmación. 

De hecho, los investigadores de Trend Micro ya han encontrado un gusano que explota esta puerta trasera para instalar aplicaciones no deseadas. El malware es detectado como ANDROIDOS_WORMHOLE.HRXA.

Los investigadores de Trend Micro creen que la falla Moplus es en muchos aspectos peor que la que se descubrió a principios de este año en la biblioteca Android Stagefright, puesto que esta última requería que los atacantes enviaran mensajes multimedia maliciosos a números de teléfono de los usuarios o engañarlos para que visitaran URL maliciosas.

Con el fin de usar el exploit Moplus, los atacantes simplemente deben escanear las redes móviles completas para encontrar las direcciones de protocolo de Internet que tienen el servicio HTTP específico de Moplus y los puertos de servidor abiertos, dijeron los investigadores.

Trend Micro ha notificado a Baidu y a Google sobre este tema. Baidu lanzó una nueva versión del SDK en el que se han retirado algunos comandos pero el servidor HTTP sigue abierto y algunas funciones todavía pueden ser objeto de abuso, dijeron los investigadores de Trend Micro.