Você já imaginou que o seu Android TV Box, aquele dispositivo aparentemente inofensivo que você usa para assistir a filmes e séries, poderia estar secretamente abrigando um perigoso malware? Uma recente pesquisa trouxe à tona uma realidade alarmante: muitos desses dispositivos, conhecidos por sua acessibilidade de preço, podem estar comprometidos por uma perigosa “porta dos fundos” que os torna vulneráveis a atividades criminosas.
A descoberta inicial
A saga começou em janeiro, quando o pesquisador de segurança Daniel Milisic fez uma descoberta chocante. Ele revelou que um Android TV Box barato, chamado T95, estava infectado com malware desde o momento em que era ligado pela primeira vez. Sua descoberta foi posteriormente confirmada por outros especialistas em segurança cibernética, mas o problema estava longe de ser resolvido.
A extensão do problema
Hoje, a empresa de cibersegurança Human Security lança luz sobre a verdadeira escala do problema. Seus pesquisadores descobriram que sete diferentes Android TV Boxes e um tablet estavam comprometidos com essa perigosa “porta dos fundos”. Além disso, eles identificaram sinais de que cerca de 200 modelos de dispositivos Android podem estar potencialmente afetados por essa ameaça silenciosa, conforme revelado em um relatório exclusivo compartilhado com WIRED.
Dispositivos comprometidos em lares, empresas e escolas
A preocupação se estende além dos indivíduos que utilizam esses dispositivos para entretenimento. Os dispositivos infectados estão presentes em lares, empresas e até mesmo escolas nos Estados Unidos. A Human Security também tomou medidas para combater as fraudes publicitárias vinculadas a esses dispositivos, um elemento que provavelmente ajudou a financiar toda a operação criminosa.
A versatilidade dos dispositivos comprometidos
De acordo com Gavin Reid, CISO da Human Security, esses Android TV Box comprometidos são verdadeiras “ferramentas suíças” para atividades maliciosas na internet. Eles são utilizados em diversos tipos de fraudes, incluindo fraudes publicitárias, serviços de proxy residencial, criação de contas falsas no Gmail e WhatsApp e instalação remota de código. Os criminosos por trás desse esquema chegaram ao ponto de vender acesso a redes residenciais, alegando terem acesso a mais de 10 milhões de endereços IP residenciais e 7 milhões de endereços IP móveis.
A origem dos dispositivos infectados
Os dispositivos Android TV são fabricados na China, mas em algum momento antes de chegarem às mãos dos revendedores, uma porta dos fundos de firmware é adicionada a eles. Essa porta dos fundos, baseada no malware Triada, modifica um elemento do sistema operacional Android, permitindo o acesso a aplicativos instalados nos dispositivos. Em seguida, eles se conectam a um servidor na China e começam a executar atividades maliciosas sem o conhecimento do usuário.
As implicações financeiras
Os pesquisadores da Human Security descobriram que os esquemas de fraude publicitária associados a esses dispositivos estavam gerando cerca de 4 bilhões de solicitações de anúncios por dia. Isso afetou cerca de 121.000 dispositivos Android e 159.000 dispositivos iOS. Os aplicativos fraudulentos para Android foram baixados 15 milhões de vezes no total, sugerindo que os responsáveis pelo esquema poderiam ter lucrado facilmente com US$ 2 milhões em apenas um mês.
Respostas das empresas de tecnologia
Tanto a Google quanto a Apple responderam prontamente às descobertas da Human Security. A Google removeu os 20 aplicativos Android identificados pela empresa de segurança da Play Store. A empresa também enfatizou a importância de adquirir dispositivos certificados pelo Play Protect, seu sistema de teste de segurança para dispositivos Android. Por outro lado, a Apple identificou cinco dos aplicativos que violaram suas diretrizes e deu aos desenvolvedores um prazo de 14 dias para adequá-los às regras.
A persistência da ameaça e como se proteger
Embora a pesquisa da Human Security tenha desativado parte das atividades fraudulentas associadas a esses dispositivos, a ameaça persiste. Os dispositivos comprometidos ainda estão em lares e redes, e removê-los sem habilidades técnicas é uma tarefa difícil. Portanto, a melhor maneira de se proteger é tomar medidas preventivas, como adquirir dispositivos de marcas confiáveis e estar atento a notícias relacionadas à segurança cibernética.
