Cibercriminosos infectam milhões de aparelhos celulares Android em todo o mundo com firmware malicioso antes mesmo de os dispositivos saírem das fábricas, de acordo com pesquisadores da Trend Micro. Mas a disseminação não ocorre somente por meio de dispositivos móveis Android, smartwatches, TVs e outros gadgets que têm sua produção terceirizada para fabricantes OEM (Original Equipment Manufacturer) também têm sido infectados na linha de produção.
Os pesquisadores observam que essa terceirização possibilita que alguma empresa no pipeline de fabricação — como um fornecedor de firmware — infecte produtos com código malicioso durante o envio, disseram os pesquisadores. A equipe da Trend Micro caracterizou a ameaça como “um problema crescente para usuários e empresas. “Qual é a maneira mais fácil de infectar milhões de dispositivos?”, perguntou o pesquisador sênior da Trend Micro, Fyodor Yarochkin, durante uma conferência em Cingapura, segundo o The Register. Ele mesmo respondeu dizendo que é no estágio inicial do ciclo de vida do dispositivo, ou seja, durante o início do processo de fabricação.
Yarochkin acrescentou que a inserção de malware começou quando o preço do firmware dos telefones móveis caíram. Segundo ele, a competição entre os distribuidores de firmware tornou-se tão furiosa que, eventualmente, os fornecedores não podiam cobrar pelo produto. “Mas é claro que não há coisas gratuitas”, disse Yarochkin, que explicou que, como resultado dessa situação precária, o firmware começou a vir com um recurso indesejável — plugins silenciosos.
A equipe da Trend Micro analisou dezenas de imagens de firmware em busca de software malicioso. Eles encontraram mais de 80 plugins diferentes, embora muitos deles não fossem amplamente distribuídos. Os plug-ins de maior impacto foram aqueles que tinham um modelo de negócios construído em torno deles, eram vendidos no subsolo e comercializados abertamente em lugares como Facebook, blogs e YouTube.
O objetivo do malware é roubar informações ou ganhar dinheiro com as informações coletadas ou entregues. O malware transforma os dispositivos em proxies que são usados para roubar e vender mensagens SMS, assumir mídias sociais e contas de mensagens online e usados como oportunidades de monetização por meio de anúncios e cliques fraudulentos.
Um tipo de plug-in, plug-ins de proxy, permite que o criminoso alugue dispositivos por até cinco minutos por vez. Por exemplo, aqueles que alugam o controle do dispositivo podem adquirir dados sobre teclas digitadas, localização geográfica, endereço IP e muito mais. “O usuário do proxy poderá usar o telefone de outra pessoa por um período de 1.200 segundos como nó de saída”, disse Yarochkin. Ele também disse que a equipe encontrou um plug-in de cookies do Facebook usado para coletar atividades do aplicativo do Facebook.
Veja isso
300 mil usuários do Android pegos por trojans da Play Store
Novo trojan para Android executa ataques de controle de conta
Por meio de dados de telemetria, os pesquisadores estimaram que existem milhões de dispositivos infectados globalmente, mas a maioria está concentrada no Sudeste Asiático e na Europa Oriental. Uma estatística autorrelatada pelos próprios criminosos, disseram os pesquisadores, era de cerca de 8,9 milhões.
Yarochkin disse que é difícil identificar exatamente como é feita a infecção dos celulares na linha de produção, “porque não sabemos ao certo em que momento o malware entrou na cadeia de suprimentos”.
A equipe da Trend Micro confirmou foram encontrados malware nos telefones de pelo menos dez fornecedores — cujos nomes não foram revelados —, mas que possivelmente havia cerca de mais de 40 afetados. Para evitar comprar um celular que já saia infectado de fábrica, os pesquisadores dizem que os “firmwares ruins” normalmente são encontrados nas marcas mais baratas de celulares do ecossistema Android, por isso o ideal, segundo eles, é adquirir aparelhos de marcas reconhecidas no mercado, embora não seja necessariamente uma garantia de segurança.
Grandes marcas como a Samsung, e o próprio Google [dono do Android] cuidaram relativamente bem da segurança de sua cadeia de suprimentos, mas é bom lembrar que para os operadores de ameaças esse é um mercado muito lucrativo”, disse Yarochkin.