Malware oculto atacando milhões de telefones Android prontos para uso
Um incidente preocupante de um ataque à cadeia de suprimentos direcionado a dispositivos Android foi descoberto por pesquisadores de segurança cibernética da Trend Micro. Eles descobriram que milhões de dispositivos Android, incluindo smartphones econômicos, smartwatches, smart TVs e outros dispositivos inteligentes, estão sendo infectados com malware infostealer antes mesmo de sair da fábrica.
Durante uma conferência em Cingapura, os pesquisadores da Trend Micro, Fyodor Yarochkin e Zhengyu Dong, esclareceram a causa raiz desse problema, atribuindo-o à concorrência acirrada entre os fabricantes de equipamentos originais (OEMs). Enquanto os fabricantes de smartphones terceirizam certos componentes, como firmware, para fornecedores terceirizados, os preços cada vez menores do firmware do telefone móvel levaram esses fornecedores a lutar para monetizar seus produtos.
Consequentemente, Yarochkin explicou que esses produtos começaram a vir pré-instalados com "plugins silenciosos" que eram extras indesejados. A investigação da Trend Micro revelou várias imagens de firmware escaneando em busca de software malicioso e identificou cerca de 80 plugins diferentes. Alguns desses plugins faziam parte de um "modelo de negócios" mais amplo e eram vendidos em fóruns clandestinos, bem como anunciados nas principais plataformas de mídia social e blogs.
Esses plug-ins possuem vários recursos, incluindo roubo de informações confidenciais, mensagens SMS, controle de contas de mídia social, fraude de cliques e anúncios, abuso de tráfego e muito mais. O Register destacou um problema particularmente sério em que um plug-in permite ao comprador obter controle total de um dispositivo por períodos de até cinco minutos e usá-lo como um "nó de saída".
De acordo com a Trend Micro, os dados indicam que quase nove milhões de dispositivos em todo o mundo foram vítimas desse ataque à cadeia de suprimentos, com a maioria localizada no Sudeste Asiático e na Europa Oriental. Embora os pesquisadores não tenham nomeado explicitamente os culpados, eles mencionaram a China várias vezes em sua discussão.
O que é um Ataque na Cadeia de Suprimentos?
Um ataque à cadeia de suprimentos é uma tática maliciosa empregada por cibercriminosos para atingir e explorar vulnerabilidades dentro da rede interconectada de fornecedores, vendedores e provedores de serviços que contribuem para a produção e distribuição de bens ou serviços. Em vez de atacar um alvo específico diretamente, os invasores se infiltram e comprometem uma entidade confiável dentro da cadeia de suprimentos para obter acesso não autorizado ou introduzir elementos maliciosos no produto ou serviço final.
O objetivo de um ataque à cadeia de suprimentos é explorar a confiança depositada na entidade comprometida e usá-la como um trampolim para atingir o alvo final. Ao comprometer um link confiável na cadeia de suprimentos, os invasores podem obter acesso a informações confidenciais, introduzir malware, adulterar produtos ou manipular processos, levando a vários resultados prejudiciais.
Existem diferentes métodos empregados em ataques à cadeia de suprimentos, incluindo:
Manipulação de Software ou Firmware: Os invasores visam o software ou firmware de produtos, inserindo códigos maliciosos ou vulnerabilidades durante o processo de desenvolvimento ou fabricação.
Compromisso do fornecedor: os cibercriminosos comprometem a infraestrutura de um fornecedor ou fornecedor para obter acesso não autorizado a dados ou sistemas confidenciais e usá-los como plataforma de lançamento para novos ataques.
Exploração de componentes de terceiros: os invasores exploram vulnerabilidades em componentes de terceiros integrados a produtos ou serviços, aproveitando esses pontos fracos para comprometer o sistema geral.
Componentes falsificados: agentes mal-intencionados introduzem componentes falsificados ou comprometidos na cadeia de suprimentos, o que pode levar a violações de segurança ou problemas de desempenho no produto final.