Pesquisadores da Trend Micro da Black Hat Asia afirmam que os criminosos pré-infectaram milhões de dispositivos Android com firmware malicioso antes mesmo de os dispositivos saírem de sua fabricação.
A fabricação dos gadgets é terceirizada para uma Fabricante de Equipamento Original (OEM). Segundo os pesquisadores, essa terceirização possibilita que alguém no processo de fabricação, como um fornecedor de firmware, infecte dispositivos à medida que são enviados com código malicioso.
A equipe da Trend Micro classificou o problema como “um problema crescente para usuários regulares e empresas”. Portanto, use-o como um aviso e um lembrete combinados.
Os vírus começaram a ser introduzidos à medida que o custo do firmware do telefone móvel diminuía. Os distribuidores de firmware finalmente se encontraram em uma competição tão acirrada entre si que não puderam exigir pagamento por seus produtos.
O pesquisador sênior da Trend Micro, Fyodor Yarochkin, respondeu: “Mas é claro que não há coisas gratuitas”. Ele explicou que, devido a esse ambiente competitivo, o firmware começou a incluir recursos indesejados, como plug-ins silenciosos.
A equipe pesquisou várias imagens de firmware em busca de software malicioso. Mais de 80 plugins foram descobertos, embora muitos não tenham sido amplamente utilizados.
Notavelmente, os plugins mais significativos tiveram um modelo de negócios desenvolvido em torno deles, foram comprados e vendidos ilegalmente e foram promovidos abertamente em sites como Facebookblogs e YouTube.
O objetivo do malware é roubar informações ou usá-las para ganhar dinheiro
O objetivo do malware é roubar informações ou lucrar com a coleta ou entrega de informações.
A infecção transforma os dispositivos em proxies usados para monetizar através de anúncios e cliques fraudulentos, roubar e vender mensagens SMS, sequestrar contas de redes sociais e de mensagens online e roubar contatos.
Além disso, os plug-ins de proxy são uma forma de plug-in que permite ao criminoso alugar dispositivos por até cinco minutos por vez. Por exemplo, as pessoas que alugam o controle do dispositivo podem aprender sobre as teclas digitadas, localização, endereço IP e muito mais.
“O usuário do proxy poderá usar o telefone de outra pessoa por 1.200 segundos como nó de saída”, disse Yarochkin.
Da mesma forma, ele disse que a equipe descobriu um Facebook plugin de cookie empregado para coletar dados do Facebook aplicativo.
O pesquisadores determinaram a partir de dados de telemetria que existem pelo menos milhões de dispositivos infectados em todo o mundo, principalmente no Sudeste Asiático e na Europa Oriental. Os investigadores alegaram que os próprios perpetradores tinham auto-relatado um número de 8.9 milhão.
Embora a palavra “China” tenha aparecido inúmeras vezes na apresentação, inclusive em uma narrativa de origem ligada à criação do firmware duvidoso, a dupla se recusou a abordar de onde vinham os perigos.
Yarochkin aconselhou o público a considerar as localizações da maioria dos OEMs do mundo e tirar suas conclusões.
Ele acrescentou que é um desafio determinar com precisão como esta infecção chega a este telemóvel porque não temos certeza de quando ela entrou na cadeia de abastecimento.
“Grandes marcas como a Samsung, como o Google, cuidaram relativamente bem da segurança da sua cadeia de abastecimento, mas para os agentes de ameaças, este ainda é um mercado muito lucrativo”, disse Yarochkin.
