Duo de malware pré-instalado em milhares de telefones Android

De acordo com as descobertas da plataforma de segurança da Upstream chamada Secure-D, um fabricante chinês chamado Transsion fabrica smartphones Android de baixo custo repletos de malware pré-instalado que recruta usuários esquecidos em serviços de assinatura sem seu conhecimento ou permissão.

Após investigação completa, o Secure-D congestionou e bloqueou um número enorme de transações que remontavam aos aparelhos Tecno W2 da Transsion . Esta variante específica visava mercados emergentes, principalmente na Etiópia, Egito, África do Sul e Gana.

Além disso, os pesquisadores de segurança interceptaram transações móveis fraudulentas e atividades em 14 outros locais. Mas este é apenas o ponto no radar, os aparelhos crivados de malware resultaram em transações de um total de 19,2 milhões registradas em mais de 200.000 dispositivos únicos originados de telefones usados ​​ou adquiridos recentemente.

Uma análise mais aprofundada levou os pesquisadores de segurança a declarar que o malware pré-instalado é Triada . Que em particular, é amplamente conhecido por sua devastação anterior também. Isso é bastante enervante, pois visa explorar o segmento mais vulnerável. Aqueles que são usuários móveis particularmente médios que buscam valor para o dinheiro e funcionalidades básicas.

O malware Triada atua basicamente como um backdoor do software. Ele também tem a capacidade de transmitir código malicioso após receber comandos do servidor de controle remoto. Nesse caso, no entanto, os servidores de comando e controle foram usados ​​pelos agentes de ameaça do Malware Triada.

A análise do tráfego capturado relacionado à web revelou que o dispositivo estava acessando vários domínios maliciosos que são considerados servidores de comando e controle usados ​​pelos autores de malware Triada. Nenhum dos hosts da Internet que se comunicou com o malware estava vinculado ao fabricante.

Além disso, o malware é conhecido por sua resiliência e é bastante invisível a olho nu, uma vez que se esconde coniventemente dentro dos componentes do sistema. No entanto, remover o malware é desgastante, muito menos manipulado por um usuário médio ou provavelmente não instruído.

Uma análise aprofundada dos pesquisadores revelou que o Triada também baixou um segundo malware chamado xhelper . Este último, sem o conhecimento, segue componentes que resultam em campanhas de fraude de cliques ou assinaturas. Neste caso, o xhelper foi descoberto em 53.000 smartphones Tecno W2 da Transsion.

Quando testado usando uma rede sul-africana, o xhelper perturbou as consultas e encontrou novos alvos e fez solicitações de assinatura automaticamente em nome dos usuários para atividades fraudulentas. Tudo isso acontece sem a permissão ou aprovação do usuário. Mesmo se identificado, o trojan xhelper torna as reinicializações, redefinições de fábrica ou desinstalação de aplicativos extremamente difíceis de induzir ou lidar.

O Triada-xhelper duo armazena componentes maliciosos em um diretório não eliminável e tem uma natureza persistente. Os pesquisadores do Secure D também identificaram que um desses aplicativos foi de fato baixado e não pré-instalado. Secure-D declara em sua postagem de blog :

Em um dispositivo Secure-D, os pesquisadores desinstalaram com.comona.bac, com.mufc.umbtts e com.mufc.firedoor enquanto o telefone era mantido offline. Aproximadamente 5 minutos depois e sem conexão com a Internet, todos os 3 aplicativos foram reinstalados automaticamente.

Também no ano passado, o xhelper infectou 45.000 telefones Android . Basicamente, os invasores exploraram a capacidade nativa do Android, que é instalar aplicativos de terceiros por meio de pacotes APK em vez da Google Play Store .

Esse processo é comumente conhecido como sideload e também representa uma grande lacuna para os agentes de ameaças explorarem. No entanto, uma vez feito isso, os usuários foram inundados com pop-ups e notificações para baixar outros arquivos e aplicativos também.

Também anteriormente, o Google revelou que os agentes da ameaça foram capazes de comprometer os telefones Android implantando o Triada semelhante a este caso. O malware é notoriamente conhecido por baixar componentes maliciosos adicionais que roubam dados confidenciais de aplicativos bancários, interceptam bate-papos / mensagens diretas de mensageiros ou plataformas de mídia social e também resultam em espionagem cibernética.

Fonte: https://www.hackread.com/nasty-malware-duo-pre-installed-cheap-android-phones