Dispositivos Android são fornecidos com malware pré-instalado

MobilidadeSegurançaSmartphones

O Laboratório de Ameaças da Avast encontrou um adware pré-instalado em centenas de diferentes modelos e versões de dispositivos Android.

O Laboratório de Ameaças da Avast encontrou um adware pré-instalado em centenas de diferentes modelos e versões de dispositivos Android, incluindo dispositivos ZTE, Archos e myPhone. A maioria desses dispositivos não é certificada pelo Google.

O adware recebeu o nome “Cosiloon” e cria uma sobreposição para exibir um anúncio em uma página web no navegador do usuário. Milhares de usuários podem ser afetados e, somente no mês passado, o Laboratório de Segurança da Avast detectou a última versão do adware em cerca de 18.000 dispositivos pertencentes a usuários da Avast localizados em mais de 100 países, incluindo Brasil, Argentina, México, França, Espanha, Índia, Áustria, bem como alguns usuários dos Estados Unidos.

O adware que foi previamente analisado pelo Dr. Web, está ativo há pelo menos três anos e é difícil de ser removido, visto que foi instalado em nível de firmware e usa forte ofuscação. O Laboratório de Segurança da Avast está em contato com o Google, que está ciente do problema. O Google adotou medidas para atenuar as capacidades maliciosas de muitas variantes de aplicativos em vários modelos de dispositivos, usando técnicas desenvolvidas internamente.

O Google Play Protect foi atualizado para garantir que haja cobertura para esses aplicativos no futuro. No entanto, como os aplicativos vêm pré-instalados com firmware, o problema é difícil de resolver. O Google entrou em contato com desenvolvedores de firmware para conscientizá-los sobres essas questões e os incentivou a tomar medidas para resolver o problema.

Não está claro como o adware foi inserido nos dispositivos. O servidor de controle estava ativo até abril de 2018 e os autores mantiveram sua atualização com novas cargas. Os fabricantes também continuaram o envio de novos dispositivos com um dropper pré-instalado. Alguns aplicativos antivírus relatam as cargas de malware, mas o dropper – que em si não pode ser removido – as instala novamente, de modo que o dispositivo sempre tenha um método que permita que uma parte desconhecida instale qualquer aplicativo desejado. O Laboratório de Segurança da Avast observou o dropper instalando adware nos dispositivos, porém, também poderia facilmente baixar spyware, ransomware ou qualquer outro tipo de ameaça.

A Avast tentou desativar o servidor C&C do Cosiloon, enviando solicitações de remoção para os provedores do servidor e do registro do domínio. O primeiro provedor, ZenLayer, respondeu rapidamente e desativou o servidor, mas foi restaurado após algum tempo usando um provedor diferente. Já o do registro de domínio não respondeu à solicitação da Avast. Portanto, o servidor C&C ainda está operando.