A equipe de segurança móvel Check Point descobriu recentemente uma enorme campanha de malware que já afetou 5 milhões de usuários do Android. Isso significa que mais de 5 milhões de usuários podem nem saber se têm um malware instalado em seus dispositivos.
Malware denominado RottenSys é um malware que se esconde no aplicativo de serviço Wifi do dispositivo. Este aplicativo de serviço é um serviço pré-instalado em vários modelos de smartphone. Esses modelos incluem telefones feitos por muitas marcas grandes como Huawei, Gionee, Oppo, Vivo e Samsung também.
De acordo com relatos, uma equipe de pesquisadores está assumindo que essas marcas não podem ser reivindicadas diretamente pelo malware. E os dispositivos podem ter sido infectados durante o armazém e a cadeia de abastecimento. Indiretamente, a cadeia de suprimentos está sendo responsabilizada por espalhar esse malware chamado ‘RottenSys’.
Todos os dispositivos afetados estavam sendo enviados pelo distribuidor comum. De acordo com relatos, todos eles foram fornecidos da cidade de Hangzhou pelo distribuidor de serviços móveis baseado na China chamado Tian Pai. A equipe da Check Point ainda não tem certeza se o distribuidor esteve diretamente envolvido ou não na disseminação do malware RottenSys para dispositivos Android.
Leia também:RedDrop: nova ameaça de malware para usuários do Android
O RottenSys, conforme alegado pelos pesquisadores da Check Point, é um malware extremamente complexo e avançado que pode obter a maioria das permissões e informações confidenciais em um dispositivo Android. Por exemplo, ele pode solicitar permissão de download silencioso, o que significa que baixará programas e aplicativos sem exibir a notificação e sem obter permissão.
Este malware foi encontrado em setembro de 2016 e, até agora, infectou quase 4.964.460 dispositivos Android.
No RottenSys, o falso gerenciador de aplicativos WiFi tenta evitar a detecção no início, para que as tarefas maliciosas comecem assim que o malware for instalado. A abordagem submissa é usada para fazer isso. O componente contendo malware entra em contato com o servidor C&C para receber a lista de recursos de que necessita, que também contém códigos maliciosos.
Um blog recente da Check Point afirmou que “RottenSys é uma rede de anúncios extremamente agressiva. Só nos últimos 10 dias, ele exibiu anúncios agressivos 13.250.756 vezes, e 548.822 dos quais foram traduzidos em cliques em anúncios. ”
Em um add-on para a declaração, a Check Point também mencionou no blog que “Os invasores planejam aproveitar a estrutura de virtualização de aplicativos da Tencent Tinker como um mecanismo dropper. A carga útil que será distribuída pode transformar o dispositivo vítima em um escravo em um botnet maior. ”
O malware foi originalmente implantado para exibir anúncios falsos na tela inicial. Os desenvolvedores desse malware também estão tentando melhorar os códigos de atividades maliciosas usando o servidor C&C. Os novos módulos de malware estão sendo adicionados em programas já existentes para que o usuário não tenha outra opção a não ser pagar ou desligar seu dispositivo.
É capaz de implantar um exército de botnets. E em apenas 10 dias, os atores ativos já obtiveram US $ 115.000 de lucro.
Esse exército de botnets pode realizar várias atividades desnecessárias, como instalar aplicativos adicionais sem a permissão, e também automatizar a interface do usuário (IU). Os pesquisadores descobriram que esse mecanismo foi executado usando Lua Scripts. Assim, possibilitando que os invasores reutilizem o malware já instalado e ganhem controle sobre outros dispositivos também usando o mesmo.
Leitura obrigatória: Os 10 principais mitos e fatos sobre malware
Os usuários do Android afetados pelo RottenSys podem desinstalar facilmente o malware. Como?
Se o dispositivo estiver infectado com os nomes de arquivo fornecidos abaixo ou o nome do dropper do pacote de malware, eles podem simplesmente desinstalar esses arquivos e pacotes por conta própria.
Aqui está o que todos eles devem fazer:
1. Vá para as configurações do sistema Android
2. Em seguida, vá para o App Manager
E procure os nomes dos pacotes fornecidos abaixo e simplesmente desinstale-os.
Se você achar isso útil, informe-nos. Dê-nos a sua opinião na caixa de comentários abaixo.