De acordo com um relatório publicado pela Check Point Research — uma empresa especializada em segurança digital —, quase 5 milhões de smartphones Android saíram de fábrica e chegaram às mãos de consumidores com um malware pré-instalado. A ameaça é conhecida como “RottenSys” e se disfarçou nesses dispositivos como uma ferramenta para ajudar no gerenciamento de conexões WiFi.
Naturalmente, o malware não oferecia qualquer recurso relacionado ao WiFi dos aparelhos e, em vez disso, solicitava praticamente todas as permissões do Android para que pudesse operar em segundo plano sem que o usuário percebesse.
Todos os aparelhos infectados teriam sido distribuídos por uma empresa chinesa terceirizada chamada Tian Pai
Segundo os pesquisadores, o RottenSys foi encontrado pré-instalado de fábrica em aparelhos da Samsung, da Xiaomi, da Huawei, da Honor, da Oppo, da Vivo e da Gionee. Todos os aparelhos infectados teriam sido distribuídos por uma empresa chinesa terceirizada chamada Tian Pai, que fica na cidade de Hangzhou, na China. Não ficou claro se essa companhia fez parte do esquema ou se ela foi vítima de algum ataque hacker. Esse tipo de instalação massiva de malware em aparelhos antes de chegarem ao consumidor é conhecido como “ataque em linha de produção”.
A Check Point Research afirma que os primeiros aparelhos foram infectados na distribuição da Tian Pai em setembro de 2016 e, até a última segunda-feira (12 de março de 2018), havia 4.964.460 — quase 5 milhões — dispositivos afetados pela ameaça.
Como isso aconteceu?
Inicialmente, o RottenSys é instalado como uma ferramenta simples e aparentemente não ameaçadora. Isso é feito para evitar detecção por parte das proteções nativas do Android e das que as próprias fabricantes instalam em seu software. Depois que o usuário dá toda as permissões possíveis ao malware, ele então baixa o código malicioso propriamente dito.
Entre 02 e 12 de março, o malware fez mais de 13,2 milhões de impressões de banners nos aparelhos infectados
Os pesquisadores encontraram o RottenSys inserindo anúncios na tela dos smartphones das vítimas, a fim de converter as propagandas em cliques e, dessa forma, render dinheiro aos criminosos. Somente entre 02 e 12 de março, o malware fez mais de 13,2 milhões de impressões de banners nos aparelhos infectados, das quais 5,4 milhões se reverteram em cliques. Estima-se que, nesse período, os criminosos ganharam nada menos que US$ 115 mil ou R$ 377 mil.
Fora o golpe dos anúncios, o malware também está criando uma rede aparelhos escravos, uma botnet, para “roubar” o poder computacional dos dispositivos, utilizá-los para disseminar ainda mais ameaças virtuais, minerar criptomoedas e por aí vai.
“É interessante notar que parte do mecanismo de controle da botnet foi implementado usando scripts Lua. Sem intervenção, os hackers poderiam reutilizar a forma de distribuição de malware já existente e logo obter o controle de milhões de aparelhos”, diz o relatório da Check Point Research.
Como saber se estou infectado?
Para verificar se seu aparelho está infectado com o RottenSys (apenas modelos de Samsung, Xiaomi, Huawei, Honor, Oppo, Vivo e Gionee), você deve abrir a tela de configurações ou ajustes do seu smartphone e tocar em “Apps” ou “Lista de aplicações”. Em seguida, você precisa selecionar “Todos os apps” e procurar pelos seguintes nomes.
Se algum deles estiver na sua lista de aplicações, basta tocar no item e fazer a desinstalação. Se mesmo assim você ainda não estiver confiante, é interessante fazer uma restauração de fábrica ou mesmo baixar a ROM original do seu aparelho e reinstalar isso manualmente.
Fontes