Mais de um milhão de equipamentos Android não-oficiais foram infetados com malware dá aos cibercriminosos a capacidade de os controlarem remotamente. De acordo com os investigadores da Satori, a ameaça faz parte de uma nova campanha fraudulenta, chamada BADBOX 2.0.
Os especialistas, que colaboraram com a Google, a Trend Micro, Shadowserver e outros parceiros na área da cibersegurança, explicam que se trata da evolução de uma campanha detetada em 2023.
A equipa realça que os equipamentos afetados, fabricados na China e enviados para todo o mundo, fazem parte da lista de dispositivos do Android Open Source Project. Ou seja, não têm as mesmas medidas de segurança dos dispositivos Android oficiais nem têm certificação Play Protect.
A campanha terá afetado equipamentos presentes em mais de 200 países e territórios. Segundo os dados partilhados, mais de um terço dos dispositivos infetados localizam-se no Brasil.
A nova campanha funciona de maneira semelhante à sua antecessora, afirmam os investigadores. Os equipamentos contam com backdoors, isto é, portas de acesso para os seus sistemas, que permitem a comunicação com servidores operados pelos cibercriminosos.
As backdoors permitem que os atacantes avancem com uma série de esquemas fraudulentos, incluindo vender o acesso ao endereço IP dos equipamentos; apresentar anúncios em aplicações; abrir janelas “escondidas” que vão para sites operados pelos cibercriminosos; e levar os utilizadores para sites suspeitos.
Os investigadores alertam que os métodos de operação não se limitam a estes esquemas. É possível que implementem qualquer funcionalidade maliciosa que desejem. Por exemplo, foi detetado que os atacantes estavam a implementar cargas maliciosas que criavam contas em serviços online e que recolhiam dados sensíveis dos equipamentos.
A equipa detalha que as backdoors podem funcionar de três maneiras diferentes. Elas podem já estar pré-instaladas nos dispositivos; ativadas através do contacto com os servidores dos cibercriminosos assim que os equipamentos são ligados pela primeira vez; ou ativadas através de aplicações maliciosas descarregadas a partir de lojas não oficiais.
Há pelo menos 4 grupos de atacantes envolvidos na campanha. Entre eles inclui-se o grupo SalesTracker, que os investigadores acreditam ser o responsável pela primeira versão da campanha BADBOX e que estará a operar os servidores e a infraestrutura da nova versão.
Além dos grupos MoYu e Lemon, ligados à venda de endereços IP dos dispositivos afetados, o grupo LongTV é operado por uma empresa da área dos media e Internet na Malásia.
Através da colaboração entre a equipa da Satori, a Google e outras empresas de cibersegurança, a campanha foi parcialmente interrompida. Por exemplo, as capacidades de monetização de anúncios fraudulentos foram mitigadas.
Do seu lado, a Google tomou medidas para reforçar as defesas. Entre elas contam-se a capacidade do sistema Play Protect alertar agora para aplicações com ligações à campanha. A tecnológica também encerrou as contas associadas à BADBOX 2.0 do seu ecossistema de anúncios.
Comentários