Pesquisadores de segurança descobriram uma enorme campanha de malware em constante crescimento que já infectou quase 5 milhões de dispositivos móveis em todo o mundo.
Apontou RottenSys , o malware que se disfarçou como um aplicativo 'System Wi-Fi service' foi pré-instalado em milhões de novos smartphones fabricados pela Honra, Huawei, Xiaomi, OPPO, Vivo, Samsung e GIONEE, adicionados em algum lugar ao longo da cadeia de suprimentos.
Todos esses dispositivos afetados foram enviados através do Tian Pai, um distribuidor de telefonia móvel com sede em Hangzhou, mas os pesquisadores não tem certeza se a empresa tem envolvimento direto nesta campanha.
Apontou RottenSys , o malware que se disfarçou como um aplicativo 'System Wi-Fi service' foi pré-instalado em milhões de novos smartphones fabricados pela Honra, Huawei, Xiaomi, OPPO, Vivo, Samsung e GIONEE, adicionados em algum lugar ao longo da cadeia de suprimentos.
Todos esses dispositivos afetados foram enviados através do Tian Pai, um distribuidor de telefonia móvel com sede em Hangzhou, mas os pesquisadores não tem certeza se a empresa tem envolvimento direto nesta campanha.
De acordo com o Check Point Mobile Security Team, que descobriu esta campanha, o RottenSys é um pedaço avançado de malware que não oferece qualquer serviço seguro relacionado com o Wi-Fi, mas requer quase todas as permissões sensíveis do Android para permitir suas atividades mal-intencionadas.
"De acordo com nossas descobertas, o malware RottenSys começou a se propagar em setembro de 2016. Até 12 de março de 2018, 4.964.460 dispositivos foram infectados pela RottenSys", disseram pesquisadores.Para evitar a detecção, o falso aplicativo do serviço Wi-Fi do sistema vem inicialmente sem componente mal-intencionado e não inicia imediatamente nenhuma atividade mal-intencionada.
Em vez disso, RottenSys foi projetado para se comunicar com seus servidores de comando e controle para obter a lista de componentes necessários, que contém o código malicioso real.
RottenSys, em seguida, baixa e instala cada um deles de acordo, usando a permissão "DOWNLOAD_WITHOUT_NOTIFICATION" que não requer nenhuma interação do usuário.
Hackers ganharam US $ 115.000 nos últimos 10 dias
Neste momento, a enorme campanha de malware empurra um componente de adware para todos os dispositivos infectados que exibem agressivamente propagandas na tela inicial do dispositivo, como janelas pop-up ou anúncios em tela cheia para gerar receitas publicitárias fraudulentas.
"RottenSys é uma rede publicitária extremamente agressiva. Nos últimos 10 dias, exibiu anúncios agressivos 13.250.756 vezes (chamados de impressões na indústria de anúncios) e 548.822 dos quais foram traduzidos em cliques de anúncios", disseram pesquisadores.De acordo com os pesquisadores da CheckPoint, o malware tornou seus autores mais de US $ 115.000 nos últimos 10 dias sozinhos, mas os atacantes são "algo muito mais prejudicial do que simplesmente exibir propagandas não convidadas".
Uma vez que RottenSys foi projetado para baixar e instalar novos componentes do seu servidor C & C, os invasores podem facilmente armadilhar ou ter controle total sobre milhões de dispositivos infectados.
A investigação também revelou algumas evidências de que os atacantes RottenSys já começaram a transformar milhões desses dispositivos infectados em uma rede maciça de botnet.
Alguns dispositivos infectados foram encontrados instalando um novo componente RottenSys que oferece aos invasores habilidades mais extensas, incluindo instalação silenciosa de aplicativos adicionais e automação de UI.
"Curiosamente, uma parte do mecanismo de controle do botnet é implementada nos scripts Lua. Sem intervenção, os invasores podem reutilizar seu canal de distribuição de malware existente e, em breve, controlar o controle sobre milhões de dispositivos", observaram os pesquisadores.Esta não é a primeira vez que os pesquisadores da CheckPoint encontraram marcas de primeira qualidade afetadas pelo ataque da cadeia de suprimentos .
No ano passado, a empresa encontrou smartphones pertencentes a Samsung, LG, Xiaomi, Asus, Nexus, Oppo e Lenovo, infectados com dois pedaços de malware pré-instalado (Loki Trojan e SLocker ransomware móvel) projetados para espionar os usuários.
Como detectar e remover o Malware do Android?
Para verificar se seu dispositivo está sendo infectado com este malware, vá para as configurações do sistema Android → Gerenciador de aplicativos e, em seguida, procure os seguintes possíveis nomes de pacotes de malware:
- com.android.yellowcalendarz (每日 黄 历)
- com.changmi.launcher (畅 米 桌面)
- com.android.services.securewifi (系统 WIFI 服务)
- com.system.service.zdsgt
FONTE:THEHACKERNEWS
Comentários
Postar um comentário