Milhões de smartphones Android vieram com vírus “de fábrica”

Milhões de smartphones Android, principalmente modelos de entrada ou de baixo custo vendidos na China, vieram contaminados com vírus “de fábrica”. O comprometimento aconteceria diretamente no firmware, a partir de plugins instalados diretamente e com foco no roubo de credenciais e códigos de verificação em dois fatores que chegam por SMS.

• Como diagnosticar se seu dispositivo móvel está infectado com malware
• Como fazer uma checagem de segurança no Android

As informações são da empresa de cibersegurança Trend Micro, que apontam para os aparelhos de pelo menos 10 fabricantes chinesas de baixo custo. Os relatos, porém, colocam 40 marcas sob suspeita, enquanto números divulgados pelos próprios cibercriminosos, em fóruns da dark web, indicam que mais de 8,9 milhões de aparelhos estariam portando os malwares de roubo de dados, com a maioria localizado na Ásia e leste da Europa. A lista completa de empresas não foi divulgada.

Os achados foram divulgados pelo time de especialistas durante o evento de cibersegurança Black Hat Asia, que aconteceu na última semana em Singapura. Fyodor Yarochkin, pesquisador sênior da Trend Micro, comparou o caso a uma árvore absorvendo líquidos contaminados do solo, com os reflexos sendo espalhados a todos os seus galhos e folhas. Atacar celulares diretamente na fabricação é, apontou, a forma mais simples de garantir que milhões deles estejam comprometidos.

Enquanto isso, ele associa a campanha — com relatos assim nem de longe aparecendo pela primeira vez — à competição ferrenha no setor de firmwares. Enquanto desenvolvedores se veem impedidos de cobrar por seus produtos, a aplicação de plugins e o processo de homologação se tornou mais frágil, enquanto um mercado criminoso surgiu na dark web focado, justamente, no comprometimento da raiz do sistema operacional Android; depois, os dispositivos são vendidos em marketplaces e redes sociais.

A principal exploração envolve a instalação de plugins de proxy nos aparelhos, o que permitiria o redirecionamento de dados digitados, geolocalização e outras informações do dispositivo, como credenciais ou cookies de acesso a redes sociais. Tais informações seriam vendidas em conjuntos ou sob forma de “aluguel”, com a abertura também sendo usada para redirecionar tráfego malicioso a partir dos dispositivos comprometidos.

Comprar de marcas conhecidas ajuda a evitar problemas

Enquanto a infraestrutura é conhecida, Yarochkin e seu time de pesquisadores apontaram que foi difícil localizar o ponto exato em que os bandidos comprometeram a cadeia de suprimentos. Por outro lado, os especialistas apontam que marcas globais costumam ter mecanismos de proteção maior ao firmware e outros elementos de software e hardware, algo que minimiza a chance de comprometimento na fabricação, ainda que não a elimine completamente.

Por isso, a recomendação de segurança é a busca por fabricantes maiores e reconhecidos, vendidos em lojas aalegítimas e igualmente confiáveis. Os valores são mais altos, argumentam os pesquisadores, mas a proteção também, já que as principais marcas costumam cuidar melhor da própria cadeia de produção.

Fonte: The Register