Avast descobre dispositivos Android que já vem com malware

A Avast detectou nesta quinta-feira (24) um malware que já vem instalado aparentemente de fábrica em diversos modelos mais baratos do Android, que inclui aparelhos da ZTE, Archos e myPhone. Com o nome de Cosiloon, o programa malicioso mostra um anúncio sobreposto em uma página da web em que o usuários esteja navegando.

De acordo com o levantamento da empresa, somente no mês passado, foram registrados 18 mil dispositivos com a última versão do adware, programa malicioso que apresenta anúncios sem a permissão do usuário. Os aparelhos afetados foram detectados em mais de 100 países, o que inclui Brasil, Argentina, México, França, Espanha, Índia, Áustria, bem como alguns usuários dos Estados Unidos.

Malware dificil de se eliminar

Um brinde ou um presente, inicialmente o programa foi descoberto pelo site Dr. Web e especula-se que ele esteja ativo há pelo menos três anos. De acordo com a Avast, é um programa de difícil eliminação, já que é instalado em nível de firmware com capacidade alta de se ofuscar.

Android

De acordo com a empresa de antivírus, também relatou que a maioria dos dispositivos com o programa pré-instalado não é certificada pela Google. Eles estão em contato com a gigante para atualizar o sistema de segurança. A plataforma de verificação da loja da Google, o Google Play Protect, já foi atualizada para evitar que este adware seja ainda mais espalhado, dando cobertura para este tipo de programa no futuro.

Contudo, o problema é que os dispositivos já com aplicativos pré-instalados com o firmware não podem ser corrigidos somente com o Play Protect. A Google então entrou em contato com desenvolvedores de firmware para incentivar que medidas sejam tomadas para solucionar o problema.

A Avast, contudo, não sabe precisamente como que o adware foi inserido nos dispositivos. “O servidor de controle estava ativo até abril de 2018 e os autores mantiveram sua atualização com novas cargas. Os fabricantes também continuaram o envio de novos dispositivos com um dropper pré-instalado. Alguns aplicativos antivírus relatam as cargas de malware, mas o dropper – que em si não pode ser removido – as instala novamente, de modo que o dispositivo sempre tenha um método que permita que uma parte desconhecida instale qualquer aplicativo desejado. O Laboratório de Segurança da Avast observou o dropper instalando adware nos dispositivos, porém, também poderia facilmente baixar spyware, ransomware ou qualquer outro tipo de ameaça”, explica a empresa em comunicado.

Android

A Avast também tentou desativar o servidor pelo qual o anúncio é mostrado aos usuários. Um dos provadores, o ZenLayer, desativou o servidor, mas o adware foi restaurado usando um novo provedor. Este não respondeu ao pedido da Avast, de forma que ainda está em operação.

“Aplicativos maliciosos podem, infelizmente, ser instalados no firmware antes de serem enviados aos consumidores”, disse Nikolaos Chrysaidos, Chefe de Segurança & Inteligência de Ameaças a Dispositivos Móveis da Avast. “Se um aplicativo estiver instalado no firmware é muito difícil removê-lo, tornando imperativas as colaborações na cadeia industrial entre fornecedores de segurança, o Google e OEMs. Juntos, podemos garantir um ecossistema móvel mais seguro para os usuários de Android”.

Lista de smartphone infectados

De  acordo com o site Dr.Web um desses Trojans, apelidado de Android.DownLoader.473.origin , foi encontrado em firmwares de um grande número de dispositivos Android populares operando na plataforma MTK. No momento, o Trojan foi detectado nos seguintes 26 modelos de smartphones:

  • MegaFon Login 4 LTE
  • Irbis TZ85
  • Irbis TX97
  • Irbis TZ43
  • Bravis NB85
  • Bravis NB105
  • SUPRA M72KG
  • SUPRA M729G
  • SUPRA V2N10
  • Pixus Touch 7,85 3G
  • Itell K3300
  • Satélite Geral GS700
  • Avião Digma 9.7 3G
  • Nomi C07000
  • Prestigio MultiPad Wize 3021 3G
  • Prestigio MultiPad PMT5001 3G
  • Optima 10.1 3G TT1040MG
  • Marechal ME-711
  • 7 MID
  • Explay Imperium 8
  • Perfeo 9032_3G
  • Ritmix RMD-1121
  • Ostras T72HM 3G
  • Irbis tz70
  • Irbis tz56
  • Jeka JK103

No entanto, o número de dispositivos Android infectados pode ser, de fato, ainda maior.

O Android.DownLoader.473.origin é um Trojan downloader, que inicia sua atividade toda vez que um dispositivo é ligado. O programa de malware monitora o módulo Wi-Fi e, em seguida, conecta-se ao servidor de comando e controle (C & C) para obter o arquivo de configuração com instruções. O arquivo contém informações sobre o aplicativo que o cavalo de Tróia deve baixar. Após o download do programa, o Android.DownLoader.473.origin instala-o secretamente.

Outro Trojan encontrado nos dispositivos Lenovo A319 e Lenovo A6000 foi denominado Android.Sprovider.7 . O Trojan é incorporado ao aplicativo Rambla, que fornece acesso ao catálogo do software Android com o mesmo nome.

Sabe-se que os cibercriminosos geram sua renda aumentando as estatísticas de download de aplicativos e distribuindo softwares de publicidade.

Portanto, o Android.DownLoader.473.origin e o Android.Sprovider.7 foram incorporados ao firmware do Android porque os outsourcers desonestos que participaram da criação de imagens do sistema Android decidiram ganhar dinheiro com os usuários.

Fonte: Dr. Web

3414
Deixe seu comentário