Celulares Android super baratos e desenvolvidos por ‘fabricantes chinesas’ estão chegando ao mercado com aplicativos maliciosos pré-instalados, afirma a empresa russa Doctor Web. Os apps, que se passam por WhatsApp e Telegram, seriam trojans que poderiam até roubar dinheiro de carteiras de criptomoedas.
“Aplicativos fraudulentos foram detectados diretamente no software pré-instalado no telefone”, afirmou a empresa. A companhia falsa que realiza o suposto ataque cibernético planejado se chama SHOWJI.
Acompanhe abaixo os modelos de aparelhos mais copiados:
- Samsung S23 Ultra
- Samsung S24 Ultra
- Redmi Note 13 Pro
- Huawei Pura70 Ultra
Eles chegam ao mercado com os seguintes nomes:
- SHOWJI S19 Pro
- SHOWJI Note 13 Pro
- SHOWJI X100S Pro
- SHOWJI Reno12 Pro
- SHOWJI Note 30i
- SHOWJI Camon 20
- SHOWJI S23 Ultra
- SHOWJI P70 Ultra
- SHOWJI S18 Pro
- SHOWJI M14 Ultra
- SHOWJI S24 Ultra
- SHOWJI 6 Pro
Vale notar que alguns modelos são acessíveis para brasileiras via plataformas de ecommerce chinesas, como a Shopee, o Aliexpress e o TEMU.
Como são os aparelhos piratas?
Os pesquisadores da DrWeb ainda comentam que os smartphones são anunciados com especificações parrudas, contudo, isso também seria mentira.
“As especificações técnicas reais estavam longe do que a página do produto alegava. Os criadores usaram um aplicativo que lhes permitiu falsificar facilmente todas as informações técnicas exibidas não apenas na página “Sobre o dispositivo”, mas também nos relatórios de aplicativos populares como AIDA64 e CPU-Z. Além disso, embora a página “Sobre o dispositivo” alegasse que os telefones tinham a versão mais recente do Android 14 instalada, todos os dispositivos estavam, na verdade, executando a mesma compilação do Android 12”.
Quais são os malwares instalados?
A DrWeb afirma que cerca de 40 aplicativos, entre mensageiros e scanners de código QR foram modificados de modo cibercriminoso.
“O aplicativo sequestra o processo de atualização para recuperar um arquivo APK de um servidor sob o controle do invasor e busca strings em conversas de bate-papo que correspondam aos padrões de endereços de carteiras de criptomoedas associadas a Ethereum ou Tron. Se encontradas, elas são substituídas pelos endereços do adversário para redirecionar as transações. No caso de uma mensagem enviada, o dispositivo comprometido exibe o endereço correto da carteira da vítima, enquanto o destinatário da mensagem vê o endereço da carteira do fraudador”, explicam.
Roubo de WhatsApp
Não são apenas criptomoedas que os aplicativos maliciosos buscam no aparelho falso utilizado pela vítima, mas eles também recolhem informações que envolvem: mensagens trocadas no WhatsApp, imagens de formatos diversos (jpg, png, jpeg), fotos, downloads, documentos e prints de tela.
A DrWeb afirma que os atacantes por trás da SHOWJI possuem cerca de 30 domínios na internet utilizados para disparar aplicações maliciosas, além de 60 servidores C2 (comando e controle) para gerenciar toda a operação.
O golpe é lucrativo?
Podemos afirmar que a SHOWJI ganha de duas maneiras: vendendo o aparelho falso e roubando dados e dinheiro das vítimas.
A empresa DrWeb afirma que eles receberam mais de US$ 1,6 milhão nos últimos dois anos apenas com transações fraudulentas de criptomoedas.
Você pode acompanhar o relatório completo clicando aqui. Para acompanhar as principais notícias de cibersegurança e se manter seguro, siga nosso caderno dedicado.