¿Te regalaron un marco de fotos digital? Es más que simples recuerdos familiares.

Redazione RHC : 15 noviembre 2025 12:38

Investigadores han descubierto varias vulnerabilidades críticas en los marcos de fotos digitales Uhale con sistema operativo Android ; algunos modelos incluso descargan y ejecutan malware al iniciarse. Analizaron la aplicación Uhale y detectaron actividad asociada a dos familias de malware: Mezmess y Vo1d.

Ya en mayo de 2025, los investigadores intentaron informar de los problemas detectados a la empresa china ZEASN (ahora llamada Whale TV), responsable de la plataforma Uhale utilizada en marcos de fotos digitales de numerosas marcas. Sin embargo, los especialistas nunca recibieron respuesta de los desarrolladores.

Los expertos descubrieron que muchos de los modelos de marcos de fotos digitales analizados descargan código malicioso desde servidores chinos inmediatamente después de encenderse. Al iniciarse, los dispositivos buscan actualizaciones para la aplicación Uhale, instalan la actualización a la versión 4.2.0 y se reinician. Tras el reinicio, la aplicación actualizada comienza a descargar y ejecutar el malware.

El archivo JAR/DEX descargado se guarda en el directorio de la aplicación Uhale y se ejecuta en cada inicio posterior del sistema. Aún no está claro por qué la versión 4.2.0 de la aplicación se volvió maliciosa (si fue algo intencional por parte de los desarrolladores o si la infraestructura de actualización de ZEASN se vio comprometida).

El malware detectado se ha vinculado a la botnet Vo1d , que comprende millones de dispositivos, así como a la familia de malware Mzmess . Esta conexión se confirma mediante prefijos de paquetes, nombres de cadenas, puntos de conexión, el proceso de distribución del malware y diversos artefactos.

Además de la descarga automática de malware (que no se produjo en todos los marcos analizados), los investigadores también descubrieron numerosas vulnerabilidades. En su informe, los especialistas de Quokka detallaron 17 problemas, 11 de los cuales ya tienen identificadores CVE. Los más graves son:

• CVE-2025-58392 y CVE-2025-58397 : una implementación insegura de TrustManager permite que un ataque MitM inyecte respuestas cifradas falsificadas, lo que en última instancia conduce a la ejecución remota de código con privilegios de root;
• CVE-2025-58388 – Durante una actualización de la aplicación, los nombres de archivo sin procesar se pasan directamente a los comandos de shell, lo que permite la inyección de comandos y la instalación remota de APK arbitrarios;
• CVE-2025-58394 – Todos los marcos de fotos probados se enviaron con SELinux deshabilitado, acceso root predeterminado y claves de prueba públicas AOSP, lo que significa que estaban totalmente comprometidos desde el momento de la fabricación;
• CVE-2025-58396 : Una aplicación preinstalada inicia un servidor de archivos en el puerto TCP 17802 que acepta cargas de archivos sin autenticación. Esto permite que cualquier equipo de la red local escriba o elimine archivos arbitrarios en el dispositivo.
• CVE-2025-58390 – WebView en la aplicación ignora los errores SSL/TLS y permite contenido mixto, lo que permite a los atacantes inyectar o interceptar datos mostrados en el dispositivo, abriendo la puerta al phishing y la suplantación de contenido.

Los investigadores también hallaron una clave AES codificada para descifrar las respuestas de sdkbin. Además, varios modelos de marcos de fotos contenían componentes de actualización de Adups y bibliotecas obsoletas , y la aplicación utilizaba esquemas criptográficos débiles y claves codificadas.

Sin embargo, es difícil estimar el número exacto de víctimas: la mayoría de los marcos de fotos vulnerables se venden bajo diferentes marcas y sin mencionar la plataforma Uhale. Por lo tanto, los investigadores citan estadísticas dispares: la aplicación Uhale se ha descargado más de 500 000 veces en Google Play y tiene más de 11 000 reseñas en la App Store. Además, los marcos de fotos Uhale vendidos en Amazon tienen aproximadamente 1000 reseñas .

En conclusión, los expertos recomiendan comprar dispositivos únicamente de fabricantes de confianza que utilicen imágenes oficiales de Android sin modificaciones de firmware, que sean compatibles con los servicios de Google y que cuenten con protección antimalware integrada.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli