A Google Play Store é famosa por abrigar aplicativos com problemas, como malware, adware, spyware e fleeceware. Mas você sabia que os hackers estão cada vez mais usando aplicativos pré-instalados para cometer seus crimes? Os pesquisadores estão alertando para essa tendência crescente. Muitos telefones Android acessíveis já vêm com vários aplicativos pré-instalados, e os hackers só precisam aproveitar uma brecha. Resolver esse problema, no entanto, é muito mais difícil do que lidar com aplicativos desonestos que chegam à Play Store.
Leia também: Malware em aplicativos da Google Play Store infecta mais de 620 mil aparelhos Android
Mais uma história de Malware no Android
No mês passado, descobrimos que 60 aplicativos Android com mais de 100 milhões de downloads continham malware – outro golpe para o sistema operacional móvel que é usado por cerca de três bilhões de pessoas em todo o mundo. Os desenvolvedores mal-intencionados exploram regularmente falhas no processo de verificação de aplicativos do Google para criar aplicativos que roubam informações de login ou fleeceware, que enganam os usuários a se inscreverem em assinaturas caras dentro do aplicativo.
No entanto, os pesquisadores da Trend Micro estão chamando a atenção para uma tendência preocupante: dispositivos Android que já vêm com software malicioso pré-instalado. Enquanto é fácil remover um aplicativo baixado da Play Store, lidar com malware incorporado em aplicativos do sistema ou firmware do dispositivo é muito mais desafiador.
O Android é conhecido por sua natureza aberta, o que permite que os fabricantes criem uma ampla variedade de modelos de telefone com preços acessíveis. No entanto, essa abertura também abre a porta para hackers inserirem códigos maliciosos antes mesmo desses dispositivos saírem da fábrica. Essa preocupação também se aplica a outros dispositivos Android, como smartwatches, tablets, decodificadores e smart TVs.
De acordo com Fyodor Yarochkin, pesquisador sênior da Trend Micro, o malware pré-instalado se tornou muito mais comum nos últimos anos, devido à competição entre os desenvolvedores de firmware móvel. Como a venda de firmware se tornou menos lucrativa, muitos começaram a oferecê-lo gratuitamente.
Infelizmente, esse novo modelo de negócio traz problemas. Muitos dos firmwares analisados pela Trend Micro continham trechos de código conhecidos como “plugins silenciosos”. Até agora, foram identificados mais de 80 tipos diferentes desses plugins, mas apenas alguns foram amplamente distribuídos. Os mais populares estão sendo vendidos ilegalmente e promovidos no Facebook, YouTube e vários blogs.
Esses plugins permitem que criminosos cibernéticos “aluguem” dispositivos Android por até cinco minutos e os utilizem para roubar informações confidenciais dos usuários, como credenciais de login. Além disso, alguns desses plugins são capazes de baixar malware adicional nos dispositivos infectados.
Estima-se que milhões de dispositivos infectados estejam em uso em todo o mundo, principalmente na Europa Oriental e no Sudeste Asiático. Curiosamente, os próprios criminosos afirmam que 8,9 milhões de dispositivos Android estão carregados com seus plugins silenciosos.
A Trend Micro confirmou que o malware estava presente em telefones de pelo menos 10 fabricantes, a maioria deles chineses. Suspeita-se que outros 40 fabricantes também tenham sido afetados, mas os pesquisadores estão interessados em descobrir em qual parte da cadeia de suprimentos a infecção é mais provável de ocorrer.
O Google está ciente do problema do malware Android pré-instalado há anos, mas enfrenta dificuldades para resolvê-lo devido ao controle limitado que possui sobre a complexa cadeia de suprimentos do Android original dos fabricantes. Os telefones mais baratos geralmente usam a plataforma de código aberto Android Open Source Platform (AOSP) e vêm com entre 100 e 400 aplicativos pré-instalados – é o suficiente para que apenas um deles esteja infectado.
Além disso, cerca de 225 fabricantes de dispositivos deixam regularmente software de diagnóstico em telefones Android, o que essencialmente cria uma porta dos fundos para spyware e ferramentas de censura. Esse comportamento foi observado em várias marcas chinesas, bem como em grandes nomes como Oppo, OnePlus, Realme e Xiaomi. Por exemplo, descobriu-se que a empresa chinesa Gigaset, que vende telefones na União Europeia, incluiu um instalador automático de malware em um aplicativo de atualização do sistema.
Em 2019, a pesquisadora do Google Project Zero, Maddie Stone, revelou a existência de um botnet de fraude de SMS e anúncios chamado Chamois, que afetou pelo menos 21 milhões de dispositivos Android nos anos anteriores por meio de malware pré-instalado. A empresa descobriu que os fabricantes frequentemente incorporavam o código Chamois em suas distribuições do Android sem saber, sendo enganados e acreditando que era um serviço legítimo de anúncios.
Desde então, o Google tem se esforçado para melhorar o Google Play Protect e expandir seus recursos para monitorar aplicativos pré-instalados em dispositivos Android em busca de comportamentos maliciosos. No entanto, os hackers continuam encontrando maneiras de contornar essas proteções e até mesmo desenvolveram modelos de negócios lucrativos na dark web em torno disso. De acordo com uma análise recente da Kaspersky, o acesso a esses serviços maliciosos pode custar de US$ 2.000 a US$ 20.000.
Então, o que você pode fazer para se proteger? Yarochkin recomenda que você opte por marcas conhecidas, como Samsung e Google, que supostamente possuem melhores medidas de segurança em suas cadeias de suprimentos. A maioria dos aplicativos antivírus móveis é ineficaz contra ameaças reais, então não confie neles, a menos que queira ser um dos milhares de usuários que baixaram malware disfarçado de ferramentas antivírus para roubar senhas.
