Notícias de dispositivos móveis, gadgets, aplicativos Android

Dispositivos chineses baseados em Android vêm pré-instalados com um backdoor de firmware

O famoso truque do cavalo de Tróia inspirou o termo para ataques cibernéticos, onde um usuário baixa involuntariamente um arquivo que causa danos quando aberto.

A equipe Satori da HUMAN revela o BADBOX, uma rede enigmática e intrincada de esquemas fraudulentos, refletindo o perigo oculto do Cavalo de Tróia.

BADBOX é uma rede mundial de produtos de consumo que esconde backdoors de firmware em cadeias de fornecimento de hardware. Eles também se infiltram em residências e escritórios, conectando-se a um servidor de comando e controle, levando a diversas atividades fraudulentas.

O BADBOX deixou uma marca significativa, infectando mais de 74 mil dispositivos Android em todo o mundo, incluindo escolas p√ļblicas dos EUA.

Documento

Android chinês Dispositivos com backdoor

Os fabricantes chineses implantam backdoors de firmware baseados em Triada em vários dispositivos Android durante a produção.

Este malware concede amplo acesso, permitindo que os cibercriminosos interceptem pagamentos e manipulem mensagens de texto, tornando-o uma ferramenta potente.

PEACHPIT compreende 39 aplicativos Android, iOS e CTV vinculados a um SSP falso. Eles manipularam detalhes do dispositivo e geraram 4 bilh√Ķes de solicita√ß√Ķes de an√ļncios diariamente, infectando 121 mil dispositivos Android e 159 mil dispositivos iOS, sendo os dispositivos iOS afetados apenas por aplicativos PEACHPIT para download.

O módulo proxy residencial do BADBOX torna os dispositivos parte de uma rede proxy global, expondo potencialmente os usuários a atividades cibercriminosas. Ele permite a criação de contas de WhatsApp e Gmail, evitando a detecção, e pode ser usado para diversos fins maliciosos.

Os dispositivos infectados se conectam a servidores C2, injetando módulos para diversos tipos de fraude, incluindo:-

  • Fraude publicit√°ria
  • N√≥s proxy residenciais
  • Contas falsas
  • Instala√ß√£o de c√≥digo n√£o autorizada

Enquanto um m√≥dulo WebView oculto no PEACHPIT gera solicita√ß√Ķes de an√ļncios falsos para financiar a opera√ß√£o.

N√≥s recomendamos:  Smartphones e doen√ßas: a radia√ß√£o dos nossos dispositivos √© prejudicial?

Em meados de 2022, a equipe Satori da HUMAN investigou um aplicativo Android que apresentava comportamento suspeito, levando à descoberta de aplicativos relacionados conectados ao flyermobi[.]com domínio.

A pesquisador separadoDaniel Milisic, também notou uma caixa T95 conectada ao flyermobi, despertando o interesse neste dispositivo.

Para evitar suspeitas, os dispositivos T95 aparecem como unidades típicas de streaming de TV, o que os torna uma linha ideal para o esquema.

A natureza gen√©rica destes dispositivos permite que qualquer pessoa os personalize e distribua. Possuir um T95 ajudou os pesquisadores do Satori a fazer engenharia reversa em suas comunica√ß√Ķes.

Corejava, no cora√ß√£o do BADBOX, √© um t√≥pico bem abordado. O exame de Satori revelou modifica√ß√Ķes no libandroid_runtime.so, um componente vital do sistema operacional Android, para suportar os recursos maliciosos do BADBOX.‚ÄĚ

Ao descriptografar libandroid_runtime.so, Satori descobriu o APK com.jar, que se conecta a um servidor C2 na inicializa√ß√£o do dispositivo T95 para obter mais instru√ß√Ķes.

O dispositivo infectado pelo BADBOX se conecta ao C2, recebe endereços de proxy e de feed de dados e atua como um proxy entre eles. Se a conexão expirar, C2 envia uma solicitação a um servidor que aciona um erro 404 e fecha o link do proxy.

Recomenda√ß√Ķes

Aqui abaixo mencionamos todas as recomenda√ß√Ķes: –

  • Evite dispositivos sem marca, pois n√£o possuem certifica√ß√£o Play Protect.
  • Os usu√°rios devem verificar o status de certifica√ß√£o do seu dispositivo.
  • Seja cauteloso com aplicativos clonados e conhe√ßa a origem de seus downloads.
  • Se o seu dispositivo funcionar de maneira estranha, considere uma redefini√ß√£o de f√°brica para remover aplicativos comprometidos.