Pesquisadores de segurança do Dr.Web encontram dezenas de aparelhos Android infectados de fábrica por um Trojan chamado Android.DownLoader.473.origin, que recentemente foi encontrado nos firmware de fábrica de um grande número de dispositivos operando com plataforma MTK. Segundo o site até o momento foram encontrados 26 modelos de smartphones populares afetados por este vírus:
- MegaFon Login 4 LTE
- Irbis TZ85
- Irbis TX97
- Irbis TZ43
- Bravis NB85
- Bravis NB105
- SUPRA M72KG
- SUPRA M729G
- SUPRA V2N10
- Pixus Touch 7,85 3G
- Itell K3300
- Satélite Geral GS700
- Avião Digma 9.7 3G
- Nomi C07000
- Prestigio MultiPad Wize 3021 3G
- Prestigio MultiPad PMT5001 3G
- Optima 10.1 3G TT1040MG
- Marechal ME-711
- 7 MID
- Explay Imperium 8
- Perfeo 9032_3G
- Ritmix RMD-1121
- Ostras T72HM 3G
- Irbis tz70
- Irbis tz56
- Jeka JK103
Estima-se que o número de modelos de dispositivos afetados ainda pode ser bem maior. O vírus em questão chamado Android.DownLoader.473.origin é um downloader, o que significa que ele faz download de softwares sem a sua permissão. Toda vez que o aparelho é iniciado o vírus é iniciado junto, e começa a monitorar o módulo wi-fi do aparelho. Assim que o software malicioso consegue identificar a conexão com o servidor de comando do malware, ele obtém um arquivo de configuração com instruções do quê o Cavalo de Tróia deve baixar em seu dispositivo. Desta forma o Android.DownLoader.473.origin faz download secretamente, e instala o aplicativo.
O pior de tudo é que os Android.DownLoader.473.origin pode baixar não apenas aplicativos bons, mas também pode baixar aplicativos indesejados, como por exemplo atualmente ele infectou diversos aparelhos com propaganda que cobrem o dispositivo com anúncios não autorizados.
Ainda é relatado que outro Trojan também foi encontrado em dispositivos da Lenovo, sendo eles os Lenovo A319 e Lenovo A6000, cujo vírus é o Android.Sprovider.7, que está incorporado ao aplicativo Rambla, que fornece acesso ao catálogo do software Android com o mesmo nome.
Note que o Android.Sprovider.7 está no presente o módulo separado que é detectado como Android.Sprovider.12.origin, criptografado para dificultar que ele seja encontrado. Ao desbloquear a tela inicial do aparelho o Trojan é acionado verificando se o módulo ainda está ativo, e se não estiver o Android.Sprovider.7 recupera esse componente para ser executado novamente, podendo executar as seguintes funções:
- Baixe um arquivo APK e tentar instalá-lo obtendo a confirmação do usuário.
- Execute um aplicativo instalado.
- Abra um link especificado em um navegador.
- Fazer uma chamada telefônica para um determinado número usando um aplicativo de sistema padrão.
- Execute um aplicativo de sistema de telefone padrão no qual um número especificado já esteja discado.
- Mostrar anúncio em cima de todas as aplicações.
- Exibir anúncios na barra de status.
- Crie um atalho na tela inicial.
- Atualizar um módulo malicioso principal.
O intuito dos cibercriminosos por trás desses vírus e gerar dinheiro aumentando as estatísticas de download do aplicativo, e também distribuindo software de publicidade. O Android.DownLoader.473.origin e o Android.Sprovider.7 Foram adaptados ao sistema padrão dos dispositivos durante a participação dessas pessoas na criação de imagem do Sistema Android para os dispositivos citados.
