Pesquisa encontra vírus em mais de 100 modelos de TV Box

Pesquisadores em segurança descobriram uma rede de vírus que contaminou mais de 74 mil dispositivos Android de todo o mundo. No total, são quase 200 modelos distintos de aparelhos vindo de fábrica com malwares focados em fraudes de anúncios; a lista inclui celulares e tablet, mas a maioria das detecções foi feita na categoria TV Box.

• Anatel encontra malware na TV Box mais vendida no Brasil
• O que caracteriza uma TV box como ilegal?

O foco nos dispositivos voltados para entretenimento é tamanho que os especialistas da Human Security batizaram a operação de BADBOX. Por meio dela, cibercriminosos inseriram vírus que abrem anúncios de forma oculta, gerando cliques e engajamento sem que o usuário perceba, enquanto os ganhos vão direto para o bolso dos bandidos. A contaminação acontecia por meio de aplicativos maliciosos que eram carregados de fábrica nos aparelhos, principalmente, de fabricantes chinesas.

O baixo custo das set-top boxes e sua disponibilização em grandes varejistas globais fez com que a campanha de malware chegasse a pelo menos 227 países, incluindo o Brasil; nenhum está incluso na lista de homologados pela Anatel. Fazem parte da lista de maiores perigos, aliás, alguns modelos de aparelhos bem populares por aqui, confira:

• T95;
• T95Z;
• T95MAX;
• X88;
• Q9;
• X12PLUS;
• MXQ Pro 5G.

Como vêm instalados de fábrica, os malwares que fazem parte da campanha BADBOX podem passar despercebidos pelos usuários, que confiam nos fabricantes dos aparelhos adquiridos. As pragas ficam inativas até que o dispositivo seja conectado à internet, quando também ocorre o contato com servidores controlados pelos bandidos, de onde partem as instruções para campanhas de fraude de anúncios.

A contaminação ocorre a partir de um malware conhecido como Triada, que atua desde 2016 e é capaz de infectar todos os dispositivos de um aparelho, incluindo também componentes do próprio Android. A backdoor leva ao download do módulo focado nos golpes envolvendo anúncios, que são exibidos no navegador nativo dos aparelhos, mas sobrepostos pela própria interface, para que o usuário não detecte o que está acontecendo.

A praga conhecida como Peachpit entra em ação sempre que o aparelho está sendo utilizado. Segundo os pesquisadores, ela seria responsável por mais de quatro trilhões de requisições de anúncios por dia, a partir de 39 aplicativos contaminados. Aqui, os especialistas também encontraram softwares perigosos para o iOS, mas o caráter fechado do sistema operacional da Apple torna o alcance da campanha no iPhone bem menor.

Campanha fraudulenta foi interrompida, mas pode retornar

Apesar de as fraudes em anúncios serem o principal foco da BADBOX, a Human Security aponta que o malware responsável pelas infecções também tem capacidades adicionais, permitindo a instalação de novos vírus pelos cibercriminosos. Os aparelhos também podem ser usados em campanhas de disseminação de spam, com os vírus instalados sendo capazes de criar e usar contas falsas em serviços de e-mail e mensagens, ou roubo de dados, tudo sem que o usuário perceba o que está acontecendo.

Apesar do risco, os pesquisadores da Human Security apontam que, no momento em que esta reportagem é escrita, os servidores responsáveis pelo Peachpit não estão mais ativos. Seria um indicativo de que a onda de ataques chegou ao fim, mas também pode significar que ela apenas está sendo reconfigurada para voltar com tudo.

Enquanto isso, os especialistas de segurança entraram em contato com as fabricantes, informando sobre a localização de malware em seus dispositivos. A pesquisa não cita nomes, mas diz que uma empresa liberou atualização para todos os seus aparelhos, impedindo o funcionamento do malware, enquanto alguns dos aplicativos contaminados também receberam correções.

Fonte: Human Security