Em uma denúncia das mais graves, a Check Point Mobile Security alertou para um malware presente em quase cinco milhões de smartphones Android ao redor do mundo. O RottenSys viria instalado de fábrica em dispositivos das marcas Samsung, Xiaomi, Huawei, Oppo, Vivo e Gionee, abrindo as portas do sistema de permissão do Android para utilização por hackers e outros indivíduos maliciosos.
De acordo com a empresa especializada em segurança da informação, a instalação da praga teria ocorrido após a saída dos equipamentos das fábricas originais, durante seu processo de expedição. As suspeitas recaem sobre a Tian Pai, uma empresa de logística de Hangzhou, na China, que é distribuidora oficial dos aparelhos em que o malware foi instalado, apesar de a origem da praga ainda não ter sido confirmada.
Ao ser instalado, o RottenSys permanece disfarçado como um componente do sistema chamado “Serviço de Wi-Fi”. Ele permanece inativo por alguns dias mesmo após a configuração inicial do aparelho, mas, depois, se conecta a servidores remotos e realiza o download, sem notificar o usuário, de um adware, que passa a exibir anúncios em aplicações e páginas web, muitas vezes substituindo as propagandas originais. A home do dispositivo também seria um alvo, com janelas de pop-up aparecendo eventualmente durante o uso.
Segundo a Check Point Security, a praga está circulando desde setembro de 2016, com 4,96 milhões de aparelhos infectados já detectados como comprometidos. Desde a descoberta, que aconteceu no dia 3 de março, o malware já teria rendido US$ 115 mil para os responsáveis; multiplique esse valor pelo tempo de atividade da praga e os lucros podem ultrapassar facilmente a casa dos US$ 6 milhões.
A preocupação, porém, recai sobre uma utilização maliciosa ainda maior. Como o RottenSys está entranhado no sistema operacional e tem acesso às permissões do Android, ele também pode ser usado para outras atividades, utilizando o mesmo método de download que exibe as propagandas. Em alguns casos, foram detectadas instâncias em que a praga tentou e foi bem-sucedida ao baixar aplicativos maliciosos adicionais ou launchers que alterariam o funcionamento da interface.
A presença em quase cinco milhões de aparelhos ao redor do mundo, por exemplo, poderia ser usada para a composição de redes de dispositivos zumbis para ataques de negação de serviço ou, no pior dos casos, roubo de dados. Tais possibilidades ainda não foram identificadas, mas a sugestão da Check Point Security é para que os usuários permaneçam vigilantes.
Informações sobre os responsáveis não puderam ser localizadas, nem foi possível confirmar a participação de eventuais funcionários da Tian Pai no esquema, ou se a empresa foi contaminada por algum tipo de ataque, com a inclusão do malware em seus sistemas. As fabricantes dos dispositivos infectados também não haviam falado sobre o assunto até o momento da publicação.
Como se proteger
Felizmente, mitigar o funcionamento da praga é simples. O usuário deve acessar o menu de configurações do Android e, na opção “Aplicativos”, procurar pelos seguintes itens (não se esqueça de ativar a opção “Todos os apps” no menu superior):
- com.android.yellowcalendarz (每日黄历)
- com.changmi.launcher (畅米桌面)
- com.android.services.securewifi (系统WIFI服务)
- com.system.service.zdsgt
Caso um deles esteja presente, basta clicar sobre o item e desativá-lo. Na sequência, realize a desinstalação do software e, se possível, uma limpeza com softwares de segurança para garantir que qualquer rastro de uso malicioso tenha sido apagado.
Fonte: The Hacker News