Os analistas da Trend Micro apresentaram um relatório interessante na conferência Black Hat Asia: de acordo com suas informações, milhões de dispositivos Android em todo o mundo possuem malware diretamente incorporado em seu firmware e são infectados por ele antes de saírem da fábrica onde foram produzidos. Basicamente, estamos falando de celulares Android baratos, mas uma situação semelhante é observada com relógios inteligentes, Televisores, e assim por diante.
Vulnerabilidade em dispositivos Android atinge milhões
Segundo os pesquisadores, a produção de gadgets é principalmente terceirizada para OEMs, e essa terceirização permite que diversas partes envolvidas no processo de produção (por exemplo, fornecedores de firmware) infectar produtos com malware na fase de produção.
Vale dizer que esse problema é conhecido há muito tempo. Por exemplo, de volta 2017, Ponto de verificação especialistas alertaram que 38 diferentes modelos de smartphones de marcas conhecidas, Incluindo Samsung, LG, Xiaomi, ASUS, Nexo, Oposto, e Lenovo, continha malware pronto para uso. Agora, representantes da Trend Micro descreveram o que está acontecendo como “um problema crescente para usuários comuns e empresas.”
Fyodor Yarochkin, pesquisador sênior da Trend Micro, e seu colega Zhen Yu Dong, disse que a introdução de malware em um estágio tão inicial começou com a queda dos preços de firmware para dispositivos móveis. A competição entre distribuidores de firmware tornou-se tão séria que, no final, eles geralmente perderam a oportunidade de cobrar por seus produtos..
Yarochkin observa que, claro, nada é gratuito, e como resultado, Plug-ins “silenciosos” começaram a aparecer no firmware. Os pesquisadores dizem que vasculharam dezenas de imagens de firmware em busca de malware e encontraram mais de 80 tais plug-ins, embora muitos deles não tenham sido amplamente adotados.
Como uma regra, o objetivo desse malware é roubar informações, bem como ganhar dinheiro com as informações coletadas ou transmitidas. Em essência, o malware transforma dispositivos infectados em servidores proxy que são usados para roubar e vender mensagens SMS, sequestrar contas em redes sociais e mensageiros instantâneos, e monetizar por meio de anúncios e cliques fraudulentos.
Por exemplo, a equipe descobriu um Biscoito do Facebook plugin que foi usado para coletar informações de atividades do aplicativo do Facebook. Outro tipo de plugin, plug-ins de proxy, permite que criminosos aluguem dispositivos infectados por até 5 minutos. Como resultado, quem aluga acesso ao aparelho pode interceptar dados sobre teclas digitadas, localização geográfica da vítima, Endereço IP e muito mais.
Os pesquisadores calcularam que milhões de dispositivos infectados desta forma estão funcionando em todo o mundo, mas o Sudeste Asiático e a Europa Oriental são os líderes em infecções. De acordo com os especialistas, a análise estatística confirma aproximadamente 8.9 milhões de dispositivos infectados.
Os analistas são evasivos sobre a origem dessas ameaças, embora a palavra “China” tenha sido ouvida frequentemente durante o relatório, inclusive quando se tratava de desenvolvimento de firmware suspeito. Yarochkin diz que os usuários devem pensar sobre a relação entre a localização dos OEMs do mundo, incidência de descoberta de firmware infectado, e tirar suas próprias conclusões.
Geral, os pesquisadores dizem que o malware foi encontrado em dispositivos de pelo menos 10 fornecedores não identificados e provavelmente afetados 40 mais. Para evitar comprar telefones celulares infectados prontos para uso, especialistas dizem que os usuários podem optar por dispositivos de última geração. Em outras palavras, é mais provável que o malware seja encontrado em dispositivos mais baratos no Android ecossistema, e é melhor ficar com as grandes marcas, embora isso também não seja garantia de segurança.
Veja também: Vulnerabilidades no firmware de alguns computadores HP não podem ser corrigidas por um ano.
