Dezenas de milhares de dispositivos Android foram enviados aos usuários finais com firmware backdoor, de acordo com um aviso do fornecedor de segurança cibernética Human Security.
Como parte da operação cibercriminosa global chamada BadBox (PDF), a Human Security descobriu que um ator de ameaça dependia do comprometimento da cadeia de suprimentos para infectar o firmware de mais de 70.000 smartphones Android, caixas CTV e tablets com o malware Triada.
Os dispositivos infectados vêm de pelo menos um fabricante chinês, mas, antes de serem entregues a revendedores, lojas físicas e armazéns de comércio eletrônico, um backdoor baseado no malware Triada foi injetado em seu firmware.
Descoberto em 2016, o Triada é um trojan modular que reside na RAM de um dispositivo, contando com o processo Zygote para conectar todos os aplicativos no Android, usando ativamente privilégios de root para substituir arquivos do sistema. Com o tempo, o malware passou por diversas iterações e foi encontrado pré-instalado em dispositivos Android de baixo custo em pelo menos duas ocasiões.
Como parte da operação BadBox que a Human Security descobriu, os dispositivos Android de baixo custo infectados permitem que os agentes de ameaças executem vários esquemas de fraude publicitária, incluindo um chamado PeachPit, que no seu auge contava com 121.000 dispositivos Android e 159.000 dispositivos iOS infectados com malware. e em 39 aplicativos centrados em Android, iOS e CTV projetados para se conectar a uma falsa plataforma de fornecimento (SSP).
Um dos módulos entregues aos dispositivos infectados a partir do servidor de comando e controle (C&C) permite a criação de WebViews totalmente ocultos do usuário, mas que “são usados para solicitar, renderizar e clicar em anúncios, falsificando o solicitações de anúncios pareçam vir de determinados aplicativos, referenciadas por determinados sites e renderizadas” em dispositivos específicos.
O BadBox, observa a Human Security, também inclui um módulo de proxy residencial que permite que os agentes da ameaça vendam o acesso à rede da vítima. Ademais, eles podem criar contas de mensagens do WhatsApp e contas do Gmail que podem usar para outras atividades maliciosas.
“Finalmente, devido à conexão do backdoor aos servidores C2 em smartphones, tablets e caixas CTV infectados pelo BadBox, novos aplicativos ou códigos podem ser instalados remotamente pelos agentes da ameaça sem a permissão do proprietário do dispositivo. Os agentes de ameaças por trás do BadBox poderiam desenvolver esquemas inteiramente novos e implantá-los em dispositivos infectados pelo BadBox sem qualquer interação dos proprietários dos dispositivos”, observa Human.
A empresa de segurança cibernética afirma que conseguiu interromper o esquema de fraude publicitária PeachPit e que os operadores BadBox retiraram do ar os seus servidores C&C, provavelmente para se adaptarem e contornarem as medidas defensivas implementadas.
Human também alerta que os dispositivos infectados pelo BadBox não podem ser limpos pelos usuários finais, uma vez que o backdoor reside na partição do firmware e que quase todos os dispositivos infectados têm preços mais baixos, recomendando que os usuários escolham marcas conhecidas ao comprar novos produtos.