Recentemente, uma rede de vírus alarmante foi descoberta, afetando mais de 74 mil dispositivos Android em todo planeta. No total, quase 200 modelos distintos de aparelhos, incluindo smartphones, tablets e, principalmente, dispositivos de TV Box, foram encontrados pré-carregados com malwares especializados em fraude de anúncios.
A operação BADBOX
Os especialistas em segurança da Human Security deram à operação o nome de BADBOX, devido ao foco dos cibercriminosos nos dispositivos voltados para entretenimento. Os vírus inseridos nesses dispositivos abriam anúncios de maneira oculta, gerando cliques e engajamento sem o conhecimento dos usuários. Os lucros dessas atividades iam diretamente para os criminosos cibernéticos.
A contaminação ocorria através de aplicativos maliciosos que vinham pré-instalados nos dispositivos, principalmente de fabricantes chineses. A lista de dispositivos afetados inclui alguns modelos populares, como:
- T95
- T95Z
- T95MAX
- X88
- Q9
- X12PLUS
- MXQ Pro 5G
Os malwares da operação BADBOX podiam passar despercebidos pelos usuários, que confiavam nos fabricantes dos dispositivos adquiridos. As infecções ficavam inativas até que o dispositivo fosse conectado à internet. Então, os dispositivos contaminados entravam em contato com servidores controlados pelos criminosos, de onde partiam as instruções para campanhas de fraude de anúncios.
O malware Triada
A contaminação ocorre a partir de um malware conhecido como Triada, que atua desde 2016 e é capaz de infectar todos os componentes de um dispositivo, incluindo componentes do próprio Android. A backdoor leva ao download do módulo focado em golpes envolvendo anúncios, que são exibidos no navegador nativo dos dispositivos, mas sobrepostos pela própria interface, para que o usuário não detecte o que está acontecendo.
O papel do Peachpit
A praga conhecida como Peachpit entra em ação sempre que o dispositivo está sendo utilizado. Segundo os pesquisadores, ela seria responsável por mais de quatro trilhões de requisições de anúncios por dia, a partir de 39 aplicativos contaminados. Aqui, os especialistas também encontraram softwares perigosos para o iOS, mas o caráter fechado do sistema operacional da Apple torna o alcance da campanha no iPhone bem menor.
Interrompendo a campanha fraudulenta
Apesar de as fraudes em anúncios serem o principal foco da BADBOX, a Human Security aponta que o malware responsável pelas infecções também tem capacidades adicionais, permitindo a instalação de novos vírus pelos cibercriminosos. Os aparelhos também podem ser usados em campanhas de disseminação de spam, com os vírus instalados sendo capazes de criar e usar contas falsas em serviços de e-mail e mensagens, ou roubo de dados, tudo sem que o usuário perceba o que está acontecendo.
Atualmente, os servidores responsáveis pelo Peachpit não estão mais ativos. Isso pode ser um indicativo de que a onda de ataques chegou ao fim, mas também pode significar que ela apenas está sendo reconfigurada para voltar com tudo.
Ações tomadas
Enquanto isso, os especialistas de segurança entraram em contato com as fabricantes, informando sobre a localização de malware em seus dispositivos. A pesquisa não cita nomes, mas diz que uma empresa liberou atualização para todos os seus aparelhos, impedindo o funcionamento do malware, enquanto alguns dos aplicativos contaminados também receberam correções.
A descoberta do vírus nos dispositivos de TV Box ressalta a importância da segurança digital em nossas vidas cada vez mais conectadas. É essencial que os usuários estejam cientes dos riscos e tomem as devidas precauções ao comprar e usar dispositivos conectados à internet. Além disso, as empresas de tecnologia devem assumir a responsabilidade de garantir a segurança de seus produtos, protegendo os consumidores contra esses tipos de ameaças.