A semana passada foi rica em notícias sobre a segurança dos smartphones Android. Muitos meios de comunicação (por exemplo, a
ArsTechnica ) escreveram que o Google "confirmou" o fato de vender smartphones com um backdoor pré-instalado "na fábrica". O motivo de tais manchetes foi um
artigo totalmente técnico
do especialista do Google, Lukasz Siverski, com uma análise da família Triada de malware móvel.
Triada é conhecida pelos pesquisadores (incluindo, é claro, a equipe do Google) desde 2016. Pela primeira vez, um backdoor foi descrito por especialistas da Kaspersky Lab (
aqui e
aqui ). Esses dois materiais detalham a introdução de código malicioso no sistema operacional (já no Android 4.x), a coleta e o envio de dados do usuário e a modificação de vários navegadores para exibir anúncios em banner.
O que é realmente interessante no post do representante da Equipe de Segurança do Android é a resposta para a pergunta exata de como o código malicioso entrou no firmware dos telefones. Os desenvolvedores de dispositivos orçamentários chineses entraram em contato com fornecedores para desenvolver recursos adicionais. Por meio desse contratado, um backdoor foi incorporado ao sistema.
Um estudo da Kaspersky Lab de 2016 descreve a variante Triada, que pode ser pré-instalada em telefones de fabricantes chineses, mas também foi capaz de atacar outros smartphones. Triada explorou vulnerabilidades na versão atual do Android 4.x. Um recurso exclusivo do backdoor era a capacidade de integrar-se a um processo-chave do Android conhecido como Zygote.
Essa abordagem forneceu ao cavalo de Troia controle quase completo sobre o dispositivo. O artigo Equipe de segurança do Android detalha mais um detalhe: Triada usou um binário su modificado para obter controle sobre os processos do sistema. Ele concedeu privilégios de superusuário aos aplicativos apenas se eles fizessem uma solicitação com a senha correta.
Além disso, em um post de Lukasz Siverski, ele conta como o backdoor rastreou qual aplicativo o usuário abriu. Se fosse um navegador, os anúncios eram exibidos em cima dele. Se a loja do Google Play for aberta, o Triada em segundo plano baixará e instalará aplicativos de seu próprio servidor de comando.
Em 2017, o Dr.Web citou exemplos de smartphones infectados com o backdoor da fábrica: Leagoo M5 Plus, Leagoo M8, Nomu S10 e S20. Dispositivos baratos (cerca de US $ 100) foram vendidos na China e no Ocidente, alguns dos quais ainda podem ser encontrados nas lojas online chinesas.
Em um artigo recente, o Google revela um esquema para implementar a versão "de fábrica" do Triada (veja a imagem acima). Aparentemente, os fornecedores de smartphones procuraram empresas de terceiros para incluir funcionalidades adicionais no firmware do dispositivo que não estavam disponíveis no projeto Android Open Source. Para isso, uma imagem do sistema foi enviada ao contratado (mencionado por Yehuo e Blazefire). Ele voltou com um apêndice - legítimo (desbloqueado na cara do proprietário) e malicioso. O Google relatou que, juntamente com os desenvolvedores de dispositivos, eles removeram os rastros de backdoor do firmware.
Mas, aparentemente, apenas esse backdoor. Em 7 de junho, representantes da Administração de Segurança da Informação (BSI) da Alemanha relataram (
notícias ) sobre a descoberta do backdoor do Xgen2-CY em quatro smartphones com orçamento limitado. Os modelos Doogee BL7000, M-Horse Pure 1, Keecoo P11 e VKworld Mix Plus coletam informações do usuário e enviam para o servidor de comando, eles podem instalar aplicativos e abrir páginas em um navegador sem o conhecimento do usuário. Somente para o modelo Keecoo P11 (5,7 polegadas, 4 núcleos, 2 gigabytes de memória, US $ 110 no GearBest) uma versão atualizada do firmware sem backdoor está disponível. Segundo a BSI, até 20 mil dispositivos acessam servidores C&C de atacantes a partir de IP alemão.
Em geral, o problema não está completamente resolvido, e a recomendação para os consumidores provavelmente será a seguinte: pense duas vezes antes de comprar um smartphone barato de marca duvidosa. Em julho passado, citamos um artigo da Motherboard que
descrevia a réplica em centavo do iPhone X da China. O dispositivo enviou as informações do usuário para a direita e para a esquerda. Tais ofícios geralmente não ficam fora da China, mas alguns dispositivos "internacionais" não são melhores. Enquanto discutimos questões de privacidade e a prática de coletar dados de usuários por todos os participantes do mercado, dezenas de milhares de pessoas em todo o mundo estão se tornando vítimas de cibercriminosos.
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.