.
Black Hat Ásia Grupos de ameaças infectaram milhões de Androids em todo o mundo com firmware malicioso antes mesmo de os dispositivos serem enviados por seus fabricantes, de acordo com pesquisadores da Trend Micro da Black Hat Asia.
Os dispositivos principalmente móveis, mas também smartwatches, TVs e muito mais, têm sua fabricação terceirizada para um fabricante de equipamento original (OEM), um processo que os pesquisadores dizem que os torna facilmente infiltrados.
Um tipo de plug-in, plug-ins de proxy, permite que criminosos aluguem dispositivos por até cinco minutos por vez. Por exemplo, aqueles que alugam o controle do dispositivo podem adquirir dados sobre teclas digitadas, localização geográfica, endereço IP e muito mais
“Qual é a maneira mais fácil de infectar milhões de dispositivos?” posou o pesquisador sênior de ameaças Fyodor Yarochkin, falando ao lado do colega Zhengyu Dong.
Ele comparou os dispositivos de infiltração em um estágio tão inicial de seu ciclo de vida a uma árvore absorvendo líquido: você coloca a infecção na raiz e ela se espalha por toda parte, para cada galho e folha.
A técnica de instalação de malware começou quando o preço do firmware do telefone móvel caiu. A competição entre os distribuidores de firmware tornou-se tão furiosa que, eventualmente, os fornecedores não podiam cobrar pelo produto.
“Mas é claro que não existe nada de graça”, disse Yarochkin, que explicou que o firmware passou a vir com uma característica indesejável – plugins silenciosos. A equipe analisou manualmente dezenas de imagens de firmware em busca de software malicioso. Eles encontraram mais de 80 plugins diferentes, embora muitos deles não fossem amplamente distribuídos.
Os plug-ins de maior impacto foram aqueles que construíram um modelo de negócios em torno deles e estavam vendendo serviços clandestinos, comercializando-os abertamente em lugares como o Facebook, em postagens de blog e no YouTube.
O objetivo do malware é roubar informações ou ganhar dinheiro com as informações coletadas ou entregues.
O malware transforma os dispositivos em proxies que são usados para roubar e vender mensagens SMS, mídias sociais e contas de mensagens online, e usados como oportunidades de monetização por meio de anúncios e cliques fraudulentos.
Um tipo de plug-in, plug-ins de proxy, permite que o criminoso alugue dispositivos por até cinco minutos por vez. Por exemplo, aqueles que alugam o controle do dispositivo podem adquirir dados sobre teclas digitadas, localização geográfica, endereço IP e muito mais.
“O usuário do proxy poderá usar o telefone de outra pessoa por um período de 1200 segundos como nó de saída”, disse Yarochkin. Ele também disse que a equipe encontrou um plug-in de cookies do Facebook usado para coletar atividades do aplicativo do Facebook.
Por meio de dados de telemetria, os pesquisadores estimaram que existem pelo menos milhões de dispositivos infectados globalmente, mas estão centralizados no Sudeste Asiático e na Europa Oriental. Uma estatística auto-relatada pelos próprios criminosos, disseram os pesquisadores, era de cerca de 8,9 milhões.
Quanto à origem das ameaças, a dupla não disse especificamente, embora a palavra “China” tenha aparecido várias vezes na apresentação, inclusive em uma história de origem relacionada ao desenvolvimento do firmware duvidoso. Yarochkin disse que o público deve considerar onde a maioria dos OEMs do mundo está localizada e fazer suas próprias deduções.
“Embora possamos conhecer as pessoas que constroem a infraestrutura para este negócio, é difícil identificar exatamente como a infecção é colocada neste telefone celular porque não sabemos ao certo em que momento ela entrou na cadeia de suprimentos, “, disse Yarochkin.
A equipe confirmou que o malware foi encontrado nos telefones de pelo menos 10 fornecedores diferentes, mas que possivelmente havia cerca de 40 outros afetados. Para aqueles que procuram evitar telefones celulares infectados, eles podem se proteger de alguma forma, indo para o topo.
“Grandes marcas como a Samsung e o Google cuidaram relativamente bem da segurança de sua cadeia de suprimentos, mas para os agentes de ameaças, esse ainda é um mercado muito lucrativo”, disse Yarochkin. ®
.
