O Abusivo Mecanismo de Busca Chines SDK by Baidu Instala Backdoors Maliciosos nos Dispositivos Android
Os dispositivos que executam o sistema operacional Android têm sido um alvo crescente no mundo de softwares e aplicativos maliciosos. O Android, devido à sua abertura e facilidade de compartilhar ou espalhar aplicativos maliciosos, existem literalmente milhões de dispositivos em todo o mundo que, acredita-se, estão infectados com algum tipo de malware.
Na mais recente descoberta de malware para Android, a Trend Micro descobriu que um assustador site de mecanismos de pesquisa do Baidu chinês oferece um SDK (kit de desenvolvimento de software) que permitiu o abuso de instalar backdoors nos dispositivos Android. Ao instalar um Trojan Backdoor, os dispositivos afetados permitiriam que os invasores controlassem o dispositivo infectado e enviassem solicitações HTTP para executar comandos maliciosos.
Testemunhamos em primeira mão muitas instâncias de invasores que utilizam backdoors para se infiltrar em computadores vulneráveis no passado, com muito sucesso na coleta de dados pessoais ou na infecção adicional de sistemas com ameaças de malware agressivas.
Quando se trata de dispositivos Android, vemos um novo mundo que se abre para centenas de milhões de dispositivos, de smartphones a tablets que podem ser hackeados para realizar ações maliciosas e às vezes ilegais na Internet. Pense em um dispositivo Android hackeado afetado pelo SDK manipulado como um portal para os hackers realizarem muitas atividades sujas e enganosas que os usuários finais dos dispositivos Android podem ser a parte responsável.
O que está sendo apelidado de Moplus SDK, os pesquisadores identificaram um kit que é iniciado automaticamente em um servidor HTTP em um dispositivo Android enquanto é executado em segundo plano, passando despercebido pelo usuário. O servidor de controle que envia comandos para dispositivos Android infectados está dizendo para dispositivos executar comandos maliciosos usando as portas 6259 ou 40310.
Os pesquisadores acreditam que atualmente quase 100 milhões de usuários do Android são afetados pelo surto do Moplus SDK, tornando este um assunto urgente para resolver.
Entre a lista quase infinita de coisas que o malicioso Moplus SDK pode fazer, há algumas coisas assustadoras que ele poderia executar enquanto residia em um smartphone ou tablet Android. Entre esses itens, o Moplus SDK pode enviar mensagens SMS, fazer chamadas telefônicas, obter detalhes do telefone, baixar arquivos no dispositivo infectado, fazer upload de arquivos do dispositivo, obter uma lista de aplicativos instalados localmente, instalar secretamente outros aplicativos e obter a localização geográfica dos dispositivos.
No que diz respeito aos invasores que têm como alvo dispositivos Android vulneráveis, precisariam apenas procurar em uma rede móvel as duas portas 6259 ou 40310, que ela utiliza principalmente.
O Baidu foi informado sobre o problema e, desde então, removeu alguns dos SDKs, interrompendo funcionalmente a capacidade do Moplus SDK de baixar e carregar arquivos, adicionar novos contatos, verificar arquivos baixados e verificar aplicativos locais.
Infelizmente, o Moplus SDK não é a primeira instância de um SDK malicioso sendo explorado por uma empresa chinesa. Houve outros casos que envolveram SDKs que roubavam secretamente mensagens SMS de dispositivos Android e as enviavam para um servidor chinês. Com a reação do Moplus SDK atingindo até 100 milhões de dispositivos Android, há um senso de urgência para impedir sua propagação.