Na convenção Blackhat Asia deste ano, um investigador de ameaças da Trend Micro veio, de novo, dar o alerta sobre o facto de milhões de dispositivos móveis estarem a ser vendidos com malware pré-instalado de fábrica. Digo ‘de novo,’ porque, apesar de ser um problema extremamente grave, não é a primeira vez que esta situação vem a público. Já em 2017, uma investigação da Check Point falava de vários smartphones saídos do ponto de venda com malware pré-instalado, capaz de roubar remotamente informação, práticas de ransomware ou até mesmo apresentar comunicação publicitária ilegítima.
Mas, se na altura a culpa foi apontada a agentes de venda intermédios, que alegadamente teriam instalado o malware entre a saída de fábrica e a venda em loja, agora, a situação reportada é bem mais grave: o malware foi encontrado directamente embebido no firmware dos dispositivos, à saída de fábrica. E, sendo parte do firmware do dispositivo, o malware torna-se mais difícil de detectar e, em alguns casos, mesmo impossível de remover. Tendo em consideração que a maioria dos dispositivos identificados são telemóveis Android de gama baixa, ou smartwatches e TV de fabricantes poucos conhecidos, a probabilidade de os mesmos receberem actualizações livres de malware é praticamente nula.
A introdução de malware, a este nível, deve-se ao competitivo mercado de criadores de firmwares que, na impossibilidade de venderem os seus produtos, procuram formas alternativas de rentabilizar o seu trabalho, muitas das vezes sem o conhecimento dos próprios fabricantes OEM e muito menos das marcas que os comercializam. As formas de rentabilização são cada vez mais elaboradas, passando pela criação de verdadeiros exércitos de bots remotos altamente resilientes, que podem ser usados para vender SMS, apoderar-se de redes sociais, publicidades maliciosas e, até mesmo, aluguer de tempo em equipamentos remotos, como pontos de saída. Apesar da maioria dos dispositivos infectados terem sido identificados no Sudoeste asiático e na Europa de Leste, nada impede que um deles entre “despercebidamente” na nossa vida digital, através de uma daquelas compras online a um “preço incrível”.
Tirando inspiração da velha máxima ‘o barato sai caro’, temos aqui um exemplo crítico de que a compra de um equipamento mais em conta pode comprometer toda a nossa privacidade digital.