.
Getty Images
No geral, os dispositivos Android ganharam uma reputação decididamente mista de segurança. Embora o próprio sistema operacional e os pixels do Google tenham resistido ao longo dos anos contra exploits de software, o fluxo interminável de aplicativos maliciosos no Google Play e dispositivos vulneráveis de alguns fabricantes terceirizados mancharam sua imagem.
Na quinta-feira, essa imagem foi ainda mais manchada depois que dois relatórios disseram que várias linhas de dispositivos Android vinham com malware pré-instalado e não podiam ser removidas sem que os usuários tomassem medidas heroicas.
O primeiro relatório veio da empresa de segurança Trend Micro. Pesquisadores acompanhando uma apresentação feita na conferência de segurança Black Hat em Cingapura relataram que cerca de 8,9 milhões de telefones e compreendendo até 50 marcas diferentes foram infectados com malware. Documentado pela primeira vez por pesquisadores da empresa de segurança Sophos, o Guerrilla, como eles chamaram o malware, foi encontrado em 15 aplicativos maliciosos que o Google permitiu em seu mercado Play.
O Guerrilla abre um backdoor que faz com que os dispositivos infectados se comuniquem regularmente com um comando remoto e um servidor de controle para verificar se há novas atualizações maliciosas para serem instaladas. Essas atualizações maliciosas coletam dados sobre os usuários que o agente da ameaça, que a Trend Micro chama de Lemon Group, pode vender aos anunciantes. A Guerrilla instala sub-repticiamente plataformas de anúncios agressivas que podem esgotar as reservas de bateria e degradar a experiência do usuário.
Os pesquisadores da Trend Micros escreveram:
Embora tenhamos identificado uma série de negócios que o Lemon Group faz para empresas de big data, marketing e publicidade, o principal negócio envolve a utilização de big data: Analisar grandes quantidades de dados e as características correspondentes das remessas dos fabricantes, diferentes conteúdos de publicidade obtidos de usuários diferentes em momentos diferentes e os dados de hardware com push de software detalhado. Isso permite que o Lemon Group monitore os clientes que podem ser infectados com outros aplicativos para desenvolver, como se concentrar em exibir anúncios apenas para usuários de aplicativos de determinadas regiões.
O país com maior concentração de telefones infectados foram os EUA, seguidos pelo México, Indonésia, Tailândia e Rússia.
O Guerrilla é uma plataforma enorme com quase uma dúzia de plug-ins que podem sequestrar as sessões do WhatsApp dos usuários para enviar mensagens indesejadas, estabelecer um proxy reverso de um telefone infectado e usar os recursos de rede do dispositivo móvel afetado e injetar anúncios em aplicativos legítimos.
Infelizmente, a Trend Micro não identificou as marcas afetadas e os representantes da empresa não responderam a um e-mail pedindo por elas.
O segundo relatório foi publicado pela TechCrunch. Ele detalhou várias linhas de caixas de TV baseadas em Android vendidas pela Amazon que estão repletas de malware. As caixas de TV, relatadas como modelos T95 com um relatório h616 para um servidor de comando e controle que, assim como os servidores Guerrilla, podem instalar qualquer aplicativo que os criadores de malware desejarem. O malware padrão pré-instalado nas caixas é conhecido como clickbot. Ele gera receita publicitária tocando sub-repticiamente em anúncios em segundo plano.
O TechCrunch citou relatórios (aqui e aqui) de Daniel Milisic, um pesquisador que comprou uma das caixas infectadas. As descobertas de Milisic foram confirmadas independentemente por Bill Budington, pesquisador da Electronic Frontier Foundation.
Dispositivos Android que vêm com malware direto da caixa de fábrica, infelizmente, não são novidade. Ars relatou tais incidentes pelo menos cinco vezes nos últimos anos (aqui, aqui, aqui, aqui e aqui). Todos os modelos afetados estavam no nível de orçamento.
As pessoas no mercado de um telefone Android devem se voltar para marcas conhecidas como Samsung, Asus ou OnePlus, que geralmente têm controles de garantia de qualidade muito mais confiáveis em seu inventário. Até o momento, nunca houve relatos de dispositivos Android de última geração com malware pré-instalado. Da mesma forma, não há tais relatórios para iPhones.
.
