Image default
Security

5 milhões de smartphones estão infectados com malware pré-instalado

Chamado de RottenSys, o malware que se disfarça de um aplicativo para o serviço de Wi-Fi, veio pré-instalado em 5 milhões de novos smartphones fabricados pela Honra, Huawei, Xiaomi, OPPO, Vivo, Samsung e GIONEE. Possivelmente o malware foi adicionado nos dispositivos em algum momento durante a logística.

Todos esses dispositivos afetados foram enviados através do Tian Pai, um distribuidor de telefonia móvel como sede em Hangzhou, China, mas ainda não têm certeza se a empresa tem envolvimento direto nesta campanha.

De acordo como tíme de segurança móvel da Check Point, que fez a descoberta, o RottenSys é um malware avançado que não oferece qualquer serviço seguro relacionado ao Wi-Fi e ainda requer  quase todas as permissões possíveis no Android para poder executar suas atividades maliciosas.

Conforme nossas descobertas, o malware RottenSys comelou a se propagar em setembro de 2016. Até 12 de março de 2018, 4.964.460 dispositivos foram infectados pelo malware”, dissem os pesquisadores.

Como o malware funciona?

Para não ser detectado, inicialmente o falso aplicativo do serviço de Wi-Fi do sistema parece ser um componente sem más intenções e não inicia imediatamente nenhuma atividade mal intencionada.

O RottenSys foi projetado para se comunicar com seus servidores de comando e controle (C&C) e obter uma lista de componentes necessários, que possuem o código malicioso real.

O malware, em seguida, faz o download e instalada cada um deles, utilizando a permissão DOWNLOAD_WITHOUT_NOTIFICATION, que não requer nenhuma interação do usuário.

Hackers lucraram cerca de 115 mil dólares nos últimos 10 dias

malware
Fonte da imagem: https://thehackernews.com/2018/03/android-botnet-malware.html

O malware instala um componente de adware em todos os dispositivos infectados, exibindo constantemente propagandas na tela inicial, como janelas pop-up ou anúncios em tela cheia para gerar receitas publicitárias fraudulentas.

O RottenSys é uma rede publicitária extremamente agressiva. Nos últimos 10 dias, exibiu constantemente anúncios 13.250.756 vezes (chamados de impressões na indústria de anúncios) e 548.822 deles, foram traduzidos em cliques de anúncios”, disseram os pesquisadores.

De acordo com pesquisadores da CheckPoint, o malware lucrou seus autores em mais de 115 mil dólares nos últimos 10 dias, mas as intenções dos atacantes são muito mais prejudiciais do que simplesmente “exibir propagandas não autorizadas”.

Uma vez que o RottenSys tenha realizado o download e instalado novos componentes de seu servidor de C&C, os atacantes poderão facilmente ter controle total de milhões de dispositivos.

Outros objetivos

A investigação também mostrou evidências de que os atacantes por trás do malware já começaram a transformar milhões desses dispositivos infectados em uma rede maciça de botnet. Ou seja, ataques DDoS poderão ser executados.

Alguns dos dispositivos estavam instalando um novo componente do RottenSys, que oferece aos atacantes, habilidades mais extensas, como a instalação silenciosa de aplicativos e a automação da interface do usuário.

Curiosamente, uma parte dos mecanismos de controle da botnet está implementada via scripts em Lua. Sem qualquer intervenção do usuário, os atacantes podem reutilizar seu canal de distribuição de malware, para em breve, ter controle total sobre milhões de dispositivos”, observaram os pesquisadores.

Evento similar já ocorreu no passado

Esta não é a primeira vez que pesquisadores da CheckPoint encontraram vestígios em dispositivos de marcas famosas afetados durante o processo de logística.

No ano passado, a empresa encontrou smartphones pertencentes a Samsung, LG, Xiaomi, Asus, Nexus, Oppo e Lenovo, infectados com partes de malwares pré-instalados (Loki Trojan e o ransomware Slocker), projetados para espionar os usuários.

Como detectar e remover o Malware do Android?

Para verificar se seu dispositivo está infectado com este malware, acesse as configurações de sistema do Android → Gerenciador de aplicativos e, em seguida, procure pelos possíveis nomes dos pacotes de malware:

com.android.yellowcalendarz (每日 黄 历)
com.changmi.launcher (畅 米 桌面)
com.android.services.securewifi (系统 WIFI 服务)
com.system.service.zdsgt

Se qualquer um dos itens acima estiver na lista de seus aplicativos instalados, basta desinstalá-lo.

Fonte:

https://thehackernews.com/2018/03/android-botnet-malware.html

Posts similares

Mr. Robot: Mozilla instala complemento promocional no navegador sem avisar e irrita usuário

O Analista

Cibercriminosos podem minerar criptomoedas, utilizando dispositivos IoT vulneráveis

O Analista

Seu smartphone pode ser hackeado quando estiver sendo carregado via USB

O Analista
O Analista_