Investigadores de seguridad móvil de Quokka han identificado fallos críticos en marcos de fotos digitales basados en la plataforma Uhale (ecosistema ZEASN, actualmente Whale TV). Según el análisis, algunos modelos ejecutan, tras encenderse, una actualización de la aplicación que descarga componentes maliciosos, convirtiendo estos dispositivos del hogar en vectores de botnet y de ataques contra redes.
Cadena de ataque: actualización maliciosa de Uhale 4.2.0
En el primer arranque, múltiples fotogramas con Android consultan actualizaciones de la app Uhale, descargan e instalan la versión 4.2.0 y se reinician. A continuación, el binario actualizado recupera una carga útil desde servidores ubicados en China y la ejecuta durante la secuencia de boot, sin intervención del usuario.
Persistencia mediante módulos JAR/DEX
El módulo, empaquetado en formatos JAR/DEX, se guarda en el directorio de la aplicación Uhale y se inyecta de nuevo en cada arranque, proporcionando persistencia y capacidad de ejecución automática. Este patrón encaja con técnicas habituales de dropper y loaders en Android orientadas a IoT.
Vínculos con la botnet Vo1d y la familia Mzmess
El estudio de artefactos mostró coincidencias con el botnet Vo1d y la malware familia Mzmess: prefijos de paquetes y strings similares, puntos finales de red compartidos y un proceso de entrega y ejecución prácticamente idéntico. Estas huellas cruzadas apuntan a un ecosistema de distribución consolidado que ya ha comprometido millones de dispositivos, de acuerdo con la atribución técnica de Quokka.
¿Compromiso de infraestructura o modificación en la compilación?
Queda por determinar por qué la versión 4.2.0 actúa como detonante. El escenario podría ser un compromiso de la infraestructura de actualización de ZEASN/Whale TV o la inserción de código en la fase de construcción. Los investigadores afirmaron haber notificado al proveedor en mayo de 2025, sin respuesta pública a la fecha.
17 vulnerabilidades, cifrado débil y presencia de Adups
Además de la cadena de actualización maliciosa, Quokka documentó 17 vulnerabilidades, de las cuales 11 ya cuentan con identificadores CVE. Entre los hallazgos figuran un clave AES codificada para descifrar respuestas sdkbin, patrones criptográficos débiles y otros secretos embebidos que reducen drásticamente la seguridad de canal y la verificación de integridad.
Algunos dispositivos incorporan componentes de actualización Adups y bibliotecas obsoletas. En IoT, el uso de OTA de terceros y dependencias heredadas ha demostrado históricamente erosionar los controles de firma y la gestión de la integridad, abriendo la puerta a compromisos en la cadena de suministro.
Alcance e inventario: el problema del “white-label”
Cuantificar el impacto es complejo: los marcos Uhale se comercializan bajo múltiples marcas y no siempre declaran la plataforma. Indicadores indirectos sugieren un alcance amplio: la app Uhale supera 500 000 descargas en Google Play, más de 11 000 reseñas en App Store y en Amazon los modelos afectados acumulan alrededor de 1000 comentarios. El enfoque white-label dificulta el inventario y retrasa la respuesta coordinada a incidentes.
Riesgos operativos: de DDoS a movimiento lateral
Los dispositivos comprometidos pueden integrarse en campañas de DDoS, actuar como proxies o participar en fraude de clics. Aunque almacenan pocos datos locales, su posición dentro de la red doméstica o corporativa crea superficie para reconocimiento y movimiento lateral contra otros activos y servicios expuestos.
Medidas de mitigación para hogares y organizaciones
Se recomienda segmentar los dispositivos IoT en VLAN o redes de invitados; aplicar filtrado de egreso a las fotogramas detectadas; deshabilitar autoactualizaciones cuando sea posible y evitar la versión 4.2.0 de Uhale; monitorizar tráfico saliente en busca de anomalías; y realizar la configuración inicial sin conexión. En entornos empresariales, establecer un proceso de procurement IoT con validación de firmas OTA, exigencia de SBOM y preferencia por compilaciones Android con Google Play Protect y políticas de actualización verificables.
El caso Uhale ilustra el riesgo sistémico de la cadena de suministro en IoT: plataformas comunes, marcas múltiples y actualizaciones opacas generan superficie para compromisos a gran escala. Los usuarios deberían inventariar sus dispositivos conectados, reforzar la segmentación y seguir de cerca los avisos de Quokka y nuevos CVE. Exigir transparencia en el ciclo de actualización y disciplina criptográfica a los fabricantes es clave para reducir la probabilidad y el impacto de incidentes similares.
