• Pesquisas
  • 6 min de leitura
  • Julho 6, 2018

Smartphones Android de baixo custo vendidos com software malicioso pré-instalado em mercados emergentes

Por Upstream

Julho de 2018

A penetração dos smartphones e a conectividade à Internet por celular estão crescendo rapidamente nos mercados emergentes, capacitando os consumidores e concedendo-lhes acesso ao conhecimento. Em vários países e em grande escala, parece que os smartphones Android de baixo custo estão sendo vendidos com software malicioso pré-instalado, projetado para cometer fraudes publicitárias digitais. Para os usuários desprevenidos desses smartphones, isso resulta em:

  1. Coleta & transferência sistemáticas de informações pessoais para um servidor de outro país
  2. Esgotamento de sua franquia de dados móveis
  3. Fraude publicitária, que resulta em transações fraudulentas e cobranças em seu tempo de conexão pré-pago

Mas primeiro, um passo para atrás

O faturamento pela operadora, um método de pagamento que permite aos usuários de telefonia celular adquirirem serviços digitais descontando os pagamentos do seu saldo de créditos, é a única maneira que os usuários de telefonia celular podem pagar por serviços digitais em mercados emergentes. Agora é mais fácil do que nunca para um consumidor num mercado emergente concluir uma transação online com um simples pagamento com um clique, graças à tecnologia avançada utilizada pelas operadoras de telefonia celular. Não há necessidade de preencher formulários longos com qualquer tipo de pagamento ou dados pessoais.

A fraude publicitária online, em geral, envolve principalmente impressões falsas e cliques, com golpistas, que são incentivados pelos pagamentos oferecidos para impulsionar as vendas através da publicidade digital, usando software para gerar artificialmente impressões e cliques. Isto impacta os anunciantes ao inflacionar o custo real da publicidade. Nos mercados emergentes, isso também afeta o consumidor final, pois os cliques fraudulentos online podem desencadear compras indesejadas e, consequentemente, descontar do seu saldo de créditos, como também esgotar sua franquia de dados a um preço muito alto.

Existem diferenças significativas nos mercados emergentes que conectam os pontos:

  1. A maioria das pessoas são assinantes pré-pagos e não tem conta bancária, usando seus créditos para pagar por serviços digitais
  2. O custo dos dados é relativamente mais alto, em comparação com os mercados desenvolvidos. Na África, por exemplo, 1GB de dados para assinantes pré-pagos custa o equivalente a 16h de trabalho de um salário mínimo.

A investigação

A partir de novembro de 2017, a plataforma Secure-D, Secure-D da Upstream, com o intuito de proteger as operadoras e seus assinantes contra fraudes nas transações online, detectou uma alta concentração de tentativas de transações bloqueadas no Brasil provenientes de smartphones Android vendidos sob a marca Multilaser. Quase ao mesmo tempo, um padrão semelhante foi observado em Myanmar a partir de smartphones Android com a marca Smart.

Embora seja comum tentativas de fraude provenientes de um aplicativo ou endereço IP específico, esta foi a primeira vez que se viu a fraude concentrada em dispositivos específicos, e em dois países diferentes.

Durante esse período, 45% de todas as tentativas fraudulentas de transações para um serviço digital premium (um portal de jogos online) no Brasil tiveram origem em dispositivos Multilaser (enquanto a participação de mercado da Multilaser não é tão alta). E 99% de todos os pedidos de transações de telefones com a marca Multilaser no Brasil foram bloqueados como fraudulentos pelo algoritmo de detecção de fraudes da Secure-D.

Ao mesmo tempo, em Myanmar, 8% de todas as tentativas fraudulentas de transações para o mesmo serviço digital premium foram originadas de dispositivos Smart (de longe a taxa mais alta proveniente de apenas uma marca). E 98,5% de todos os pedidos de transações de telefones da marca Smart em Myanmar foram novamente identificados como fraudulentos.

O que chamou nossa atenção foi que o mesmo aplicativo, chamado com.rock.gota, estava enviando estes pedidos fraudulentos de transações tanto no Brasil quanto em Myanmar. O com.rock.gota é um aplicativo que não pode ser encontrado na loja do Google Play; e em seus telefones, os usuários geralmente o veem sob o nome ‘Software Update’ ou ‘Mobile Care’.

Análise do comportamento do com.rock.gota

A equipe de analistas de segurança da Upstream adquiriu um conjunto de dispositivos com um alto volume de tentativas fraudulentas tanto no Brasil quanto em Myanmar a partir de lojas físicas de eletrônicos nesses países. Em todos esses dispositivos, o com.rock.gota foi pré-instalado e foi identificado assim que os telefones foram ligados pela primeira vez.

No início, um dispositivo Multilaser MS50S foi investigado e colocado em um ambiente “sandbox” no qual todo o tráfego da rede (dados transmitidos de e para o dispositivo) foi registrado.

Na primeira ativação, o dispositivo iniciou numerosas transmissões de dados criptografados de e para um servidor localizado na URL http://api.rock.fotapro.com/, que aponta para um servidor não seguro localizado em Singapura e operado pela Gmobi.

A Gmobi, de acordo com seu website, é uma “Plataforma de anúncios baseada em resultados que permite a monetização de conteúdo e aquisição global de usuários” com um alcance de “150 milhões de instalações em mais de 120 países” e está sediada em Xangai, China (www.generalmobi.com), alegando “atender clientes na China, Taiwan, Sudeste Asiático, EUA, Índia e Rússia”.

Ao manter o dispositivo Multilaser sob monitoramento e sem ter aceitado os termos e condições do com.rock.gota, nem ter interagido com o aplicativo, os rastreamentos de rede foram analisados para identificar vários pedidos de download de material publicitário (banners da web) em segundo plano, sem torná-los visíveis para o usuário. Um desses casos solicitou e baixou o conteúdo da url: http://cdn3.dd.fotapro.net/files/48649f226927c698a2074f127ea4e82a (ainda ativo no momento da publicação).

O que aponta para o criativo abaixo de uma campanha promocional da Uber, embora não esteja claro se esta é ou não uma campanha da Uber oficial e aprovada.

O aplicativo pré-instalado com.rock.gota, que foi identificado pela Secure-D como tentativa de compra fraudulenta de serviços em nome dos usuários, já foi previamente detectado pela empresa de antivírus Dr. Web e outras fontes, coletando informações do dispositivo, incluindo e-mail, localização GPS (ou seja, rua e número exato, cidade, estado, país), identificadores únicos do dispositivo, dados que podem ser usados para identificar pessoalmente e de forma singular o proprietário do dispositivo.

É importante notar que este aplicativo não pode ser desinstalado pelos usuários, a menos que eles realizem um procedimento complexo de root que pode até resultar na anulação da garantia do aparelho.

Descobertas idênticas foram observadas pelos analistas da Secure-D nas investigações de monitoramento dos dispositivos Singtech P10, Smart 12 4G Super Star e Sapphire H7S comprados em Myanmar.

Além de ser uma plataforma de anúncios baseada em resultados, a Gmobi fornece uma tecnologia FOTA (Firmware-Over-The-Air) aos fabricantes de dispositivos celulares como uma alternativa à oferta oficial do Google, para que possam atualizar o firmware do dispositivo através da internet. O Google exige que os fabricantes passem por um processo de certificação antes de permitir que utilizem o método oficial para atualizações de firmware.

Parece que certos fabricantes optam pela solução da Gmobi para atualizações de firmware. Isto em si não sugere que os fabricantes instalem tais softwares com a intenção de fraudar seus clientes. No entanto, isso indica que os fabricantes precisam controlar melhor o software pré-instalado nos dispositivos que vendem.

Consequências e efeitos sobre os usuários

Parece que os usuários de vários países estão sendo afetados pelo aplicativo pré-instalado com.rock.gota, e em larga escala, resultando em:

  1. Coleta e transferência sistemática de suas informações pessoais para um servidor de outro país sem seu consentimento.
  2. Esgotamento de sua franquia de dados – uma questão gigantesca nos mercados emergentes onde o custo dos dados é dramaticamente alto. No Brasil, por exemplo, 1GB de internet para assinantes pré-pagos custa o equivalente a 6h de trabalho de um salário mínimo.
  3. Transações fraudulentas e cobranças que descontam do seu crédito pré-pago, a única forma de os usuários poderem pagar por serviços digitais em mercados emergentes, já que a maioria das pessoas não tem conta bancária. Na África, 94% da população não tem conta em uma instituição financeira.

Mercados afetados

De acordo com as descobertas da Secure-D, os usuários em mais de 8 países emergentes são afetados por este malware em particular. Os mais afetados nos últimos dois meses estão no Brasil, em Myanmar e na Malásia.

No Brasil, a Secure-D detectou mais de 2 milhões de tentativas de transações fraudulentas provenientes de dispositivos Multilaser durante um único mês (novembro de 2017), e em relação a múltiplos serviços digitais. Essas tentativas representaram 41% do total de 247.484 números de telefone únicos que tentaram comprar um dos serviços de forma fraudulenta.

Ao mesmo tempo, em Myanmar, a Secure-D detectou mais de 114.000 tentativas de transações fraudulentas vindas de dispositivos da marca Smart. Essas 114.000 tentativas fraudulentas representaram 21% do total de 110.306 números de telefone únicos que tentaram adquirir um serviço digital de forma fraudulenta.

Conclusão

Como os dispositivos vêm com o malware pré-instalado, os consumidores ficam desamparados para se protegerem dos efeitos adversos do com.rock.gota. Desinstalá-lo envolve a obtenção do acesso root ao sistema operacional Android, um procedimento altamente complexo até mesmo para usuários experientes. Esta não é uma solução prática, pois muito poucas pessoas conseguem realizá-la, quem dirá o usuário médio no Brasil ou em Myanmar.

Em geral, das fraudes de malware (não específica da Gmobi) observadas durante o mês de junho de 2018, em 8 países emergentes e 12 operadoras, a Secure-D conseguiu evitar assinaturas fraudulentas de serviços digitais que teriam resultado na cobrança de 20 milhões de dólares aos consumidores de tempo de conexão/créditos. E este número não inclui o valor adicional do esgotamento da franquia de dados que foi infligido aos usuários de celulares desprevenidos.

A Secure-D combina algoritmos de machine learning com fluxos de trabalho de processamento de pagamento para proteger as operadoras e seus assinantes contra fraudes em transações online e o gasto de franquia de dados, causados por todos os tipos de malware e outras ameaças online. A plataforma processa mais de 100 milhões de solicitações de transações por mês, detectou e bloqueou mais de 42.000 aplicativos maliciosos e identificou mais de 2,7 milhões de smartphones infectados.


A Upstream trabalhou com o Wall Street Journal para divulgar esta história. Você pode ler o que eles escreveram aqui.

Voltar

Compartilhar

Compartilhar

Não perca os nossos novos insights

Cadastre-se para receber nossos insights e notícias mais recentes. Fique por dentro.