De acordo com pesquisadores da Trend Micro da Black Hat Asia, criminosos pré-infectaram milhões de dispositivos Android com firmware malicioso antes que os dispositivos saíssem de sua fabricação. Ou seja, o dispositivo que você ainda vai comprar, já pode vir infectado!
A fabricação dos gadgets é terceirizada para um fabricante de equipamento original (OEM). De acordo com os pesquisadores, essa terceirização possibilita que alguém no processo de fabricação, como um provedor de firmware, infecte dispositivos à medida que são enviados com código malicioso.
Dispositivos Android infectados com firmware malicioso ainda na fabricação
A equipe da Trend Micro chamou o problema de “um problema crescente para usuários comuns e empresas”. Portanto, use-o como um aviso e um lembrete combinados. Fique atento sempre!
Os vírus começaram a ser introduzidos à medida que o custo do firmware do telefone móvel diminuía. Os distribuidores de firmware finalmente se viram em uma competição tão acirrada entre si que não podiam exigir pagamento por seus produtos.
O pesquisador sênior da Trend Micro, Fyodor Yarochkin, respondeu: “Mas é claro que não há material gratuito”. Ele explicou que, devido a esse ambiente competitivo, o firmware começou a incluir recursos indesejados, como plug-ins silenciosos.
A equipe pesquisou várias imagens de firmware em busca de software malicioso. Mais de 80 plugins foram descobertos, embora muitos não tenham sido usados extensivamente. Os plug-ins mais significativos tiveram um modelo de negócios desenvolvido em torno deles, foram comprados e vendidos ilegalmente e foram promovidos abertamente em sites como Facebook, blogs e YouTube.
O objetivo do malware é roubar informações ou usá-las para ganhar dinheiro
O objetivo do malware é roubar informações ou lucrar com a coleta ou entrega de informações. A infecção transforma os dispositivos em proxies usados para monetizar por meio de anúncios e clicar em fraudes , roubar e vender mensagens SMS, sequestrar mídias sociais e contas de mensagens online e roubar contatos.
Além disso, os plug-ins de proxy são uma forma de plug-in que permite que o criminoso alugue dispositivos por até cinco minutos por vez. Por exemplo, as pessoas que alugam o controle do dispositivo podem aprender sobre as teclas digitadas, localização, endereço IP e muito mais.
“O usuário do proxy poderá usar o telefone de outra pessoa por 1200 segundos como nó de saída”, disse Yarochkin. Da mesma forma, ele disse que a equipe descobriu um plug-in de cookies do Facebook usado para coletar dados do aplicativo do Facebook.
Os pesquisadores determinaram a partir de dados de telemetria que existem pelo menos milhões de dispositivos infectados em todo o mundo, principalmente no Sudeste Asiático e na Europa Oriental. Os pesquisadores alegaram que os próprios perpetradores relataram um número de 8,9 milhões.
Embora a palavra “China” tenha aparecido inúmeras vezes na apresentação, inclusive em uma narrativa de origem atrelada à criação do duvidoso firmware, a dupla se recusou a abordar de onde vinham os perigos.
