O Android não se livra da reputação de ser um sistema operativo inseguro e propenso a entregar malware aos seus utilizadores. Apesar dos Pixels da Google resistirem, o fluxo interminável de aplicações maliciosas no Google Play e os dispositivos vulneráveis de alguns fabricantes mancharam a sua imagem. Agora descobriu-se que existem milhões de smartphones e TVs Android que trazem malware pré-instalado.
15 aplicações com malware que a Google permitiu na sua loja
Na quinta-feira, dois relatórios deram a conhecer que existem várias linhas de dispositivos Android que trazem malware pré-instalado que não pode ser removido, a não ser com “medidas heroicas”. Segundo as informações partilhadas na conferência de segurança Black Hat, em Singapura pela empresa de segurança Trend Micro, existem 8,9 milhões de telemóveis, de 50 marcas diferentes, infetados com malware.
Existem dois relatórios sobre este ataque de malware. O primeiro partilhado pelos investigadores dá conta de um agente malicioso, o Guerrilla, como chamaram ao malware (inicialmente identificado pela Sophos), foi encontrado em 15 aplicações maliciosas que a Google permitiu na sua loja de aplicações.
O Guerrilla abre uma backdoor que faz com que os dispositivos infetados comuniquem regularmente com um servidor de comando e controlo remoto para verificar se existem novas atualizações maliciosas para instalar. Estas atualizações maliciosas recolhem dados sobre os utilizadores que o agente da ameaça, a que a Trend Micro chama Lemon Group, pode vender aos anunciantes.
O Guerrilla instala silenciosamente plataformas de anúncios agressivas que podem esgotar a bateria e degradar a experiência do utilizador.
Embora tenhamos identificado uma série de negócios que o Lemon Group faz para empresas de big data, marketing e publicidade, o principal negócio envolve a utilização de big data: a análise de grandes quantidades de dados e das características correspondentes dos envios dos fabricantes, dos diferentes conteúdos publicitários obtidos de diferentes utilizadores em diferentes momentos e dos dados de hardware com o envio detalhado de software. Isto permite à Lemon Group vigiar os clientes que podem ser posteriormente infetados com outras aplicações, por exemplo, concentrando-se apenas na apresentação de anúncios a utilizadores de aplicações de determinadas regiões.
Escreveu o investigador da Trend Micros.
O país com a maior concentração de telemóveis infetados foi os EUA, seguido do México, Indonésia, Tailândia e Rússia.
Guerrilla ataca até TVs com Android
O Guerrilla é uma plataforma gigante com quase uma dúzia de plugins que podem sequestrar as sessões do WhatsApp dos utilizadores para enviar mensagens indesejadas, estabelecer um proxy reverso a partir de um telefone infetado e utilizar os recursos de rede do dispositivo móvel afetado, e injetar anúncios em aplicações legítimas.
A Trend Micro até ao momento não partilhou quais as marcas que estão ser afetadas por este malware.
O segundo relatório foi publicado pelo TechCrunch. O relatório descreve em pormenor várias linhas de TVs com Android vendidas através da Amazon que estão repletas de malware. Além disso, boxes de TV, que são modelos T95 com um h616, reportam a um servidor de comando e controlo que, tal como os servidores Guerrilla, pode instalar qualquer aplicação que os criadores do malware queiram.
O malware pré-instalado por defeito nas boxes é conhecido como clickbot. Gera receitas de publicidade mostrada silenciosamente nos anúncios em segundo plano.
O site TechCrunch citou relatórios de Daniel Milisic, um investigador que comprou por acaso uma das boxes infetadas. As descobertas de Milisic foram confirmadas de forma independente por Bill Budington, um investigador da Electronic Frontier Foundation.
Os dispositivos Android que vêm com malware diretamente da caixa de fábrica não são, infelizmente, novidade. Por várias vezes já demos conta deste tipo de esquema que promove a insegurança, roubo de dados e até de ataques a contas bancárias.