O sistema operativo Android da Google é a plataforma mais popular no mundo, algo que o transforma num imenso e apetecível alvo para fins ilícitos. Ao propósito, recordamos o caso exposto no início do ano pela Forbes, expondo o malware Triada, presente em vários smartphones Android de gama baixa.
Entretanto, passaram-se meses, mas agora a Google reconheceu o caso, explicando-o.
A confirmação da Google diz-nos que existiram realmente alguns atores envolvidos numa tentativa de acesso aos nossos smartphones Android. Principalmente a dispositivos móveis mais modestos e como parte de um ataque em cadeia. Para tal, o método escolhido foi a criação de uma backdoor.
A história do Triada começa em 2016
Antes de mais, para entendermos a ameaça, temos que recuar até 2016. Foi então que a equipa de investigadores do Kaspersky Lab encontrou o Triada. Apelidando-o de “o malware mais avançado, pertencente à família dos Trojans para dispositivos móveis que já tinham visto“.
O Triada “vive”, sobretudo, na memória RAM (random access memory) dos smartphones Android. Assim que chega ao smartphone, o malware utiliza privilégios de raiz (root) para contornar toda e qualquer verificação de permissões. Em síntese, ganha acesso ilimitado a todo o dispositivo móvel.
Entretanto, tal como um vírus, o Triada evoluiu. Com efeito, durante o verão de 2017 os investigadores da Dr.Web descobriram o novo modus operandi do Triada. Agora, em vez de depender das permissões de raíz nos smartphones Android, o malware passou a utilizar uma metodologia de inserção mais sofisticada.
Da RAM para a framework do Android
Nesta nova vertente, o Triada passou a utilizar uma entrada na framework do sistema Android. Por outras palavras, os smartphones infetados apresentavam uma backdoor, instalada pelo malware. Assim sendo, cada vez que uma aplicação tentava aceder a qualquer ponto ou função, a backdoor estava lá.
De forma mais sucinta, o código do Triada podia ser executado em toda e qualquer app do smartphone Android infetado. Desse modo, toda e qualquer informação a que uma aplicação acedia, podia ser captada pelas mentes responsáveis pelo malware. Pensem numa backdoor como um free-pass para os bastidores.
Talvez o mais preocupante é o facto de esta backdoor ser o resultado de uma lacuna inerente ao sistema operativo Android. Isto é, o Triada aproveitava uma vulnerabilidade já existente no sistema, bem como nos smartphones que saíam da fábrica, para se implementar nos mesmos. Uma pequena friesta bastava.
A Google pronunciou-se sobre o caso, finalmente.
Teríamos que esperar até esta semana para que a Google finalmente reconhecesse o caso. Fê-lo através de Lukaz Siewierski, parte da equipa de segurança do Android. Pela sua mão, foi publicado um novo post no blog de segurança da Google. Aí, temos por fim os últimos e cruciais detalhes em torno do Triada.
Além disso, temos a confirmação, por parte da Google, que existia uma backdoor nos nossos smartphones Android. Algo que podia ser explorado, e foi de facto, por casos como supracitado Triada. Aí, vemos a verdadeira extensão da problemática.
De acordo com Siewierski, as imagens de sistema (Android), foram infetadas por terceiros durante o processo de produção. Isto é, quando o fabricante de smartphones incluía alguma função que não fazia parte do Android Open Source Project (AOSP), estava criada a altura perfeita para a adulteração.
A backdoor presente em smartphones Android
O responsável da Google utilizou o exemplo do face unlock, o reconhecimento facial para desbloqueio dos smartphones como um dos métodos ou etapas que podia ser adulterada para criação da backdoor. Ao mesmo tempo, a fabricante não suspeitava de nada e continuava a produzir smartphones infetados.
Sem citar qualquer exemplo de fabricante, a Google deu a entender que esta era apenas uma das formas possíveis. O contaminar de uma qualquer função, adicionada pelas fabricantes ao AOSP, e que vinha já instalada de fábrica. Em síntese, o consumidor comprava um smartphone novo, já infetado.
Há, todavia, uma lista de smartphones Android infetados, que pode ser consultada nesta ligação do Bleeping Computer. São cerca de 40 modelos de smartphones Android, a grande maioria de gama baixa e primariamente vendidos na China. Ainda assim, alguns podem ter sido exportados.
Por fim, a Google afirma já ter colmatado a situação. Fê-lo sobretudo através do diálogo com as fabricantes, fornecendo-lhes instruções detalhadas para remover qualquer possível ameaça. Ao mesmo tempo, a tecnológica afirma ter reduzido as variantes do Triada já instaladas nos smartphones Android.
Sensibilizando e informando as fabricantes, além de atualizar os smartphones existentes. Uma abordagem dual que promete mitigar a ameaça silenciosa representada pelo Triada.