Avast descobre dispositivos Android que já vêm com malware pré-instalado

A Avast detectou nesta quinta-feira (24) um malware que já vem instalado aparentemente de fábrica em diversos modelos mais baratos do Android, que inclui aparelhos da ZTE, Archos e myPhone. Com o nome de Cosiloon, o programa malicioso mostra um anúncio sobreposto em uma página da web em que o usuários esteja navegando.

Pelo levantamento da empresa, somente no mês passado, foram registrados 18 mil dispositivos com a última versão do adware, programa malicioso que apresenta anúncios sem a permissão do usuário. Os aparelhos afetados foram detectados em mais de 100 países, o que inclui Brasil, Argentina, México, França, Espanha, Índia, Áustria, bem como alguns usuários dos Estados Unidos.

O programa foi descoberto inicialmente pelo site Dr. Web e especula-se que ele esteja ativo há pelo menos três anos. De acordo com a Avast, é um programa de difícil eliminação, já que é instalado em nível de firmware com capacidade alta de se ofuscar.

A empresa de antivírus também relata que a maioria dos dispositivos com o programa pré-instalado não é certificada pela Google. Eles estão em contato com a gigante para atualizar o sistema de segurança. A plataforma de verificação da loja da Google, o Google Play Protect, já foi atualizada para evitar que este adware seja ainda mais espalhado, dando cobertura para este tipo de programa no futuro.

O problema, contudo, é que os dispositivos já com aplicativos pré-instalados com o firmware não podem ser corrigidos somente com o Play Protect. A Google então entrou em contato com desenvolvedores de firmware para incentivar que medidas sejam tomadas para solucionar o problema.

A Avast,, contudo, não sabe precisar como que o adware foi inserido nos dispositivos. “O servidor de controle estava ativo até abril de 2018 e os autores mantiveram sua atualização com novas cargas. Os fabricantes também continuaram o envio de novos dispositivos com um dropper pré-instalado. Alguns aplicativos antivírus relatam as cargas de malware, mas o dropper – que em si não pode ser removido – as instala novamente, de modo que o dispositivo sempre tenha um método que permita que uma parte desconhecida instale qualquer aplicativo desejado. O Laboratório de Segurança da Avast observou o dropper instalando adware nos dispositivos, porém, também poderia facilmente baixar spyware, ransomware ou qualquer outro tipo de ameaça”, explica a empresa em comunicado.

A Avast também tentou desativar o servidor pelo qual o anúncio é mostrado aos usuários. Um dos provadores, o ZenLayer, desativou o servidor, mas o adware foi restaurado usando um novo provedor. Este não respondeu ao pedido da Avast, de forma que ainda está em operação.

"Aplicativos maliciosos podem, infelizmente, ser instalados no firmware antes de serem enviados aos consumidores", disse Nikolaos Chrysaidos, Chefe de Segurança & Inteligência de Ameaças a Dispositivos Móveis da Avast. "Se um aplicativo estiver instalado no firmware é muito difícil removê-lo, tornando imperativas as colaborações na cadeia industrial entre fornecedores de segurança, o Google e OEMs. Juntos, podemos garantir um ecossistema móvel mais seguro para os usuários de Android".

Fonte: Dr. Web