Quase 14% dos dispositivos Android infectados por vírus ainda no processo de fabricação foram enviados para a América do Sul como parte de uma operação criminosa de grande escala. O território é o terceiro maior em número de comprometimentos pelas ações do chamado Lemon Group, que vem agindo pelo menos desde o ano passado.

Os dados apresentados pela emp67resa de cibersegurança Trend Micro falam de um esquema que teria atingido nove milhões de aparelhos, enviados para 180 países. Enquanto o Brasil não aparece entre os 10 mais atingidos, nossa vizinha Argentina é justamente a 10ª, enquanto Estados Unidos, México e Indonésia dividem o pódio de territórios com maior número de detecção de dispositivos infectados.

Os smartphones são o principal alvo do Lemon Group, que também instalou vírus em smartwatches, set-top boxes e até televisores inteligentes. Em uma operação que está sendo encarada como um amplo ataque à cadeia de suprimentos, o firmware usado no processo de fabricação destes aparelhos trazia o malware Guerilla, focado no roubo de credenciais e direcionamento de conexões a partir dos dispositivos contaminados.

Por meio do download de módulos, o vírus é capaz de interceptar códigos de autenticação em duas etapas que chegam por SMS e furtar sessões do WhatsApp, além de exibir anúncios indevidos. Além disso, os criminosos são capazes de usar os aparelhos como proxies, redirecionando dados digitados, cookies de login em redes sociais e outras credenciais.

Todo esse potencial ofensivo era vendido na dark web de acordo com a vontade dos clientes, que escolhiam quais explorações desejavam realizar nos dispositivos comprometidos. Conjuntos de dados também eram comercializados assim, bem como o uso dos aparelhos para redirecionar tráfego malicioso e dificultar a detecção por autoridades e sistemas de segurança.

As informações sobre nove milhões de dispositivos contaminados em 180 países, aliás, vem dos próprios criminosos. O site original usado por eles para divulgação das informações, entretanto, saiu do ar assim que o relatório da Trend Micro foi apresentado no início do mês, durante a conferência de cibersegurança Black Hat Asia, em Singapura.

Segundo os especialistas, ainda que a maior parte dos aparelhos esteja localizado nos EUA, México e Indonésia, o foco preferencial dos bandidos se divide entre o sudeste da Ásia e leste da Europa. A Trend Micro fala deste como um problema global, ainda que a lista de fabricantes comprometida não tenha sido divulgada publicamente — não se sabe, também, se todas foram avisadas nem se tomaram atitudes para conter o problema.

Operação criminosa é ampla, mas já conhecida

Enquanto o Lemon Group foi flagrado pela primeira vez em fevereiro de 2022, suas operações são ainda mais antigas, datando de 2016 como parte de uma onda de contaminações pelo malware bancário Triada. Na ocasião, 42 smartphones de baixo custo saíram das fábricas chinesas portando o vírus, com a infraestrutura usada na nova onda de contaminações compartilhando seus sinais.

Entre mudanças de nomes, com o grupo também atendendo pela alcunha Durian Cloud SMS no ano passado, os negócios parecem seguir de vento em popa. Ao final do relatório, a Trend Micro sugere ainda que o total pode ser maior do que nove milhões, já que mais dispositivos podem estar aguardando nas prateleiras das lojas para serem adquiridos por usuários e entrarem em contato com a rede criminosa.

Sendo assim, a recomendação de segurança segue sendo a compra de aparelhos apenas de fabricantes reconhecidos, vendidos em lojas confiáveis. Os valores mais altos normalmente se refletem em um maior escrutínio da cadeia de produção, ao contrário do que acontece com modelos de baixo custo, produzidos em escala muito maior e de forma menos cuidadosa.

Fonte: CanalTech