No geral, os dispositivos Android ganharam uma reputação decididamente mista de segurança. Embora o próprio sistema operacional e os Pixels do Google tenham se levantado ao longo dos anos contra explorações de software, o fluxo interminável de aplicativos maliciosos no Google Play e dispositivos vulneráveis de alguns fabricantes terceirizados manchou sua imagem.

Na quinta-feira, essa imagem ficou ainda mais manchada depois que dois relatórios disseram que várias linhas de dispositivos Android vinham com malware pré-instalado que não poderia ser removido sem que os usuários tomassem medidas heroicas.

O primeiro relatório veio da empresa de segurança Trend Micro. Pesquisadores que acompanharam uma apresentação feita na conferência de segurança Black Hat em Cingapura relataram que até 8,9 milhões de telefones com até 50 marcas diferentes foram infectados com malware. Documentado pela primeira vez por pesquisadores da empresa de segurança Sophos, o Guerrilla, como eles chamaram o malware, foi encontrado em 15 aplicativos maliciosos que o Google permitiu em seu mercado Play.

O Guerrilla abre um backdoor que faz com que os dispositivos infectados se comuniquem regularmente com um servidor de comando e controle remoto para verificar se há novas atualizações maliciosas para eles instalarem. Essas atualizações maliciosas coletam dados sobre os usuários que o agente de ameaças, que a Trend Micro chama de Lemon Group, pode vender aos anunciantes. A Guerrilla instala sub-repticiamente plataformas de anúncios agressivas que podem esgotar as reservas de bateria e degradar a experiência do usuário.

Os pesquisadores da Trend Micro escreveram:

Embora tenhamos identificado uma série de negócios que o Lemon Group faz para empresas de big data, marketing e publicidade, o principal negócio envolve a utilização de big data: analisar grandes quantidades de dados e as características correspondentes das remessas dos fabricantes, diferentes conteúdos de publicidade obtidos de diferentes usuários em diferentes momentos e os dados de hardware com envio detalhado de software. Isso permite que o Lemon Group monitore clientes que podem ser infectados com outros aplicativos para se basear, como se concentrar em mostrar apenas anúncios para usuários de aplicativos de determinadas regiões.

O país com maior concentração de telefones infectados foram os EUA, seguidos por México, Indonésia, Tailândia e Rússia.

Guerrilla é uma plataforma massiva com quase uma dúzia de plugins que podem sequestrar as sessões do WhatsApp dos usuários para enviar mensagens indesejadas, estabelecer um proxy reverso de um telefone infectado para usar os recursos de rede do dispositivo móvel afetado e injetar anúncios em aplicativos legítimos.

Infelizmente, a Trend Micro não identificou as marcas afetadas e os representantes da empresa não responderam a um e-mail perguntando por elas.

O segundo relatório foi publicado pelo TechCrunch. Ele detalhou várias linhas de caixas de TV baseadas em Android vendidas pela Amazon que estão repletas de malware. As caixas de TV, relatadas como modelos T95 com um h616, se reportam a um servidor de comando e controle que, assim como os servidores Guerrilla, pode instalar qualquer aplicativo que os criadores de malware desejarem. O malware padrão pré-instalado nas caixas é conhecido como clickbot. Ele gera receita de publicidade ao tocar sub-repticiamente em anúncios em segundo plano.

O TechCrunch citou relatos de Daniel Milisic, pesquisador que comprou uma das caixas infectadas. As descobertas de Milisic foram confirmadas de forma independente por Bill Budington, pesquisador da Electronic Frontier Foundation.

Dispositivos Android que vêm com malware diretamente da caixa de fábrica não são, infelizmente, nenhuma novidade. O Ars relatou tais incidentes pelo menos cinco vezes nos últimos anos. Todos os modelos afetados estavam no nível de orçamento.

As pessoas no mercado para um telefone Android devem se orientar para marcas conhecidas como Samsung, Asus ou OnePlus, que geralmente têm controles de garantia de qualidade muito mais confiáveis em seu inventário. Até o momento, nunca houve relatos de dispositivos Android de última geração vindo com malware pré-instalado. Da mesma forma, não há relatos desse tipo para iPhones.