Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Malware dá a si mesmo acesso de root e forma botnet de 11.000 aparelhos na China

Um exemplo interessante (por demonstrar o potencial deste tipo de ameaça) de malware está afetando usuários chineses: o RootSmart, documentado inicialmente por um professor da Universidade da Carolina do Norte (NCSU) na semana passada, chega aos aparelhos dos usuários da forma usual (travestido de um programa interessante e/ou inocente oferecido para download via Internet – neste caso um utilitário para configuração de smartphones), se encarrega de fazer o download e executar um rootkit (o GingerBreak) e, já dotado de acesso de root, reune informações sobre o aparelho infectado, conecta-se a uma botnet para receber comandos como o de fazer o download e instalar (usando seu poder de root) malwares adicionais (como o DroidLive, observado em caso real durante o estudo), ou silenciosamente acessar sites pay per view ou fazer ligações automaticamente para números premium, gerando assim receita para os controladores do esquema.

Felizmente para nós esta ameaça em particular – que aparentemente está rodando desde o ano passado – até o momento se concentra em telefones conectados a 2 operadoras de telefonia específicas na China, e ignora a maioria das demais vítimas. Mas o mercado chinês não é pequeno, e os registros são de milhares de aparelhos afetados a cada dia. (via theverge.com – “Android malware gives itself root access to connect to botnet | The Verge”)


• Publicado por Augusto Campos em 2012-02-10

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Spif (usuário não registrado) em 10/02/2012 às 11:02 am

    Agora reaparece o coro de amigos do Android pra continuar a insistir que não existe nada de errado com o sistema e que a culpa é do usuário?

    Spif (usuário não registrado) em 10/02/2012 às 11:07 am

    O principal problema de segurança que podemos observar no Android é o próprio uso de exploits para conseguir acesso Root no sistema.

    Na versão do Galaxy 5 é relativamente fácil instalar o programa e ganhar acesso root.

    Enquanto isso é desejável para personalizar o smartphone, é problemático pois se é tão fácil assim, o que impediria a criação de uma botnet como essa? A resposta, pelo jeito, é nada.

    Porfírio (usuário não registrado) em 10/02/2012 às 11:37 am

    Agora aparece uma voz solitária dizendo o que todo mundo já sabia a séculos: não seja idiota de instalar no seu computador, tablet, celular, geladeira inteligente, o diabo que for, um aplicativo cujo linkezinho cheio de promessas vc. pegou em algum lugar obscuro na internet.

    O Windows, por exemplo, nunca foi um bom sistema. Mas a farra de vírus começou com os consumidores piratas, os falsos shareware e os visitantes dos sites warez da vida.

    No caso citado, me parece que o aplicativo é executado em um computador – e não dentro do aparelho – e acessa o dispositivo móvel da mesma forma que utilitários de atualização e configuração (como o Kies, por exemplo). Isso é a chamada “quebra da segurança física” e não tem solução.

    É mais ou menos como, comparando com um SO não-mobile, dar de presente uma conta de usuário a um invasor e deixar ele brincar de exploit.

    Para esse ataque em particular deixar de funcionar, poderíamos fazer um kernel Linux (utópico) inteiramente blindado. Aí, adeus root para todos os usuários, gerando um número infinito de reclamações.

    Ah, podemos blindar e deixar a senha de root nas mãos do usuário? 99% deles vai usar a senha e rodar o sistema o tempo todo com esse user.

    Liberdade tem e sempre terá seu preço, pago em bom senso. É por isso que as iCoisas são bloqueadas a tal ponto que só podem ser quebradas mexendo no hardware.

    Opinião pessoal? Ainda prefiro ter liberdade porque eu não preciso de uma babá.

    No caso em questão, o aplicativo é executado diretamente dentro do aparelho.

    Rodrigo Pinheiro Matias (usuário não registrado) em 10/02/2012 às 12:46 pm

    @spif [...] travestido de um programa interessante e/ou inocente oferecido para download via Internet – neste caso um utilitário para configuração de smartphones [...], mas o problema só existe por que as fabricantes decidem quando uma atualização deve ser feita e não a Google que é a distribuidora do Android e esta também tem culpa nisto tudo.

    Rodrigo Pinheiro Matias (usuário não registrado) em 10/02/2012 às 12:46 pm

    por permitir este tipo de decisão.

    Weber Jr. (usuário não registrado) em 10/02/2012 às 4:42 pm

    Rodrigo

    “por permitir este tipo de decisão.”

    Sugestão então é fechar o código do Android ?

    Sim, porque senão há como um fabricante contornar a ordem de atualização do Google.

    Spif (usuário não registrado) em 10/02/2012 às 5:10 pm

    Weber, claro que há. O verbo a ser usado não é fechar, mas Retirar.

    Se a empresa não faz trabalho correto, retira a permissão de uso da Marca Android. Retira o acesso ao Google Market, Gmail, Gtalk, Maps e etc.

    Isso já deve ser o bastante, pra fazer elas reconsiderarem.

    Porfírio (usuário não registrado) em 10/02/2012 às 5:22 pm

    @Augusto, obrigado por aclarar a notícia. Nesse caso trata-se apenas da boa e velha prática já condenada de não baixar o aplicativo de fonte confiável.

    Levando-se em conta que, na China, nenhuma fonte é confiável no que se refere a vigilância governamental. Eles bloquearam o Android Market por causa do absurdo prazo de reembolso exigido e não atendido? Ou isso foi só uma cortina de fumaça pra poder substituir as apps estrangeiras por outras empacotadas e fornecidas de dentro do país?

    Usuários de Android, fica a dica mais uma vez: nunca baixem aplicações a não ser em mercados confiáveis. Com a exceção de promoções, nunca baixem aplicativos “grátis” que vc. sabem serem pagos nos mercados mais populares. Nunca consuma aplicativos pirateados ou crackeados. Quando adotar um esquema de root, roteie o aparelho pra fazer o que precisar e logo depois faça o unroot de volta. Não dê privilégios de root a uma aplicação sem que vc. confie muito nela.

    E, finalmente, se puder privilegiar aplicações que possuem código aberto, saiba que elas são mais seguras que as proprietárias. Como sempre.

    Pela minha experiência pessoal, essas práticas simples são suficientes pra vc. não entender porque fazem tanto barulho por malware.

    Weber Jr. (usuário não registrado) em 10/02/2012 às 5:38 pm

    Spif

    “Isso já deve ser o bastante, pra fazer elas reconsiderarem.”

    Isso não impede. Principalmente com os fabricantes que adoram colocar sua “camada personalizadora”.

    O único fabricante que joga por seus termos é a Apple, e simplesmente porque conta com o fator hype, onde usuários fazem de tudo por seu produto. Os fabricantes ficam encurralados, senão a brincadeira era diferente.

    Weber Jr. (usuário não registrado) em 10/02/2012 às 5:39 pm

    Porfírio

    “@Augusto, obrigado por aclarar a notícia.”

    Mas ele estava respondendo pra você ? Estranho autor do blog responder comentário moderado.

    É verdade, neste caso específico vemos um exemplo de situação em que a política de segurança empregada não é suficiente para evitar as consequências hoje observadas de uma prática condenável e comum, que está amplamente ao alcance dos desenvolvedores e dos usuários. Mas o cenário tem melhorado, ainda que os casos continuem a ocorrer, com gravidade variada.

    Sou otimista e acredito que no futuro haverá soluções que evitem com eficácia este tipo de situação até mesmo para os consumidores menos informados. Enquanto não ocorrer, a divulgação crescente dos casos talvez faça um número cada vez maior de vítimas potenciais ter consciência dos riscos a que estão expostas e das alternativas à sua disposição.

    Weber: quando eu respondi, não estava moderado.

    Weber Jr. (usuário não registrado) em 10/02/2012 às 9:09 pm

    Augusto

    “quando eu respondi, não estava moderado”

    Imaginei, mas não deixa de ser curioso. O autor do blog e consequentemente da política de moderação acha o comentário pertinente para até responder, o público não.

    Porfírio talvez ande precisando se benzer, acontece muito com ele de comentários rapidamente serem moderados.

    Spif (usuário não registrado) em 10/02/2012 às 9:15 pm

    “O único fabricante que joga por seus termos é a Apple, e simplesmente porque conta com o fator hype, onde usuários fazem de tudo por seu produto. Os fabricantes ficam encurralados, senão a brincadeira era diferente.”

    Não. A Apple faz tudo. Ela faz todo o produto, garantindo que o que ela imaginou é o que o cliente vai receber. Toma responsabilidade pelos aplicativos da app store, garantindo que o mínimo de problemas vai acontecer. Atualiza as versões do seu sistema, constantemente implementando novidades que podem aumentar a vida útil do seu produto.

    Isso mostra o respeito que ela tem pelo consumidor.

    O Google não acompanha todo o processo. Ele faz o sistema e libera pra se alterado o quanto quiser, sem garantias de qualidade. Não liga para o que entra na App store, o cliente que se vire pra saber se é seguro. Atualiza as versões do seu sistema, mas não garante que os sistemas sejam atualizados, e muitas vezes eles são descartados.

    Essa é a diferença.

    Sim, é curioso pelo contraste, mas a política se baseia justamente em oferecer aos leitores a possibilidade de moderar pela sua vontade e avaliação.

    Eu respondi sobre uma questão que tratava de um fato que achei importante esclarecer após vê-lo apresentado em uma suposição incorreta do leitor: o modo de execução deste malware em discussão. Mas a existência de resposta minha não deveria servir como endosso da qualidade do comentário a que respondi.

    Por outro lado, entendo perfeitamente quem modera negativamente o comentário alheio que afirma que “todo mundo já sabia há séculos” o que vai ser dito (mas diz mesmo assim), que classifica como idiota quem age em desacordo com as boas práticas de segurança de usuário tão frequentemente ignoradas pelos próprios, que responsabiliza só as vítimas pelo incidente de segurança que as atingiu, ou mesmo que apresenta seu cardápio de duas opções em que uma delas é ter liberdade e a outra é ele precisar ter uma babá.

    Não acho que este tipo de posicionamento seja tratado assim por azar, ou que a solução para o caso envolva recorrer ao sobrenatural.

    Weber Jr. (usuário não registrado) em 10/02/2012 às 9:59 pm

    “Não acho que este tipo de posicionamento seja tratado assim por azar, ou que a solução para o caso envolva recorrer ao sobrenatural.”

    Pode ser, mas eu costume ficar na dúvida é quando só alguns, ou especialmente alguns, são.

    Nada contra, acredite no que preferir. Para mim, geralmente observo que quando ocorre moderação negativa frequente e/ou rápida (aparentemente desta vez ocorreu só o primeiro caso), geralmente a causa está na repetição pelo autor de um comportamento facilmente identificável – “há séculos”, como disse o autor.

    Weber Jr. (usuário não registrado) em 10/02/2012 às 10:06 pm

    Spif

    “Ela faz todo o produto, garantindo que o que ela imaginou é o que o cliente vai receber. Toma responsabilidade pelos aplicativos..”

    Você parece não ter entendido direito.

    Eu não discordei do que ela FAZ. E sim do porque ela CONSEGUE fazer.

    E ela consegue fazer porque ganhou uma aura de quase mito, exagerado na minha opinião, mas com muitos méritos.

    Ela tem fila para vender aparelhos. As operadoras não tem alternativa, precisam se submeter.

    Essa clientela devota e o sistema fechado fazem a comparação no quesito controle e “vontade” do Google inapropriadas.

    Weber Jr. (usuário não registrado) em 10/02/2012 às 10:08 pm

    “inapropriadA”, singular.

    Pobre concordância.

    Spif (usuário não registrado) em 10/02/2012 às 10:27 pm

    O Google pode fazer o mesmo, Weber. Só usarem a Googlerola pra isso.

    Mas pra ele as coisas estão comodas como estão

    Kurt (usuário não registrado) em 10/02/2012 às 10:37 pm

    Fechem o código do Android, fechem o código do Android…

    Weber Jr. (usuário não registrado) em 10/02/2012 às 10:48 pm

    Spif

    “O Google pode fazer o mesmo, Weber. Só usarem a Googlerola pra isso.”

    Se estiverem planejando algum aparelho que alcance tamanha demanda do público quanto o Iphone e as operadoras precisarem ceder, então sim, pode acontecer.

    Mas mesmo assim, os outros fabricantes vão continuar podendo não obedecer ao Google.

    Porfírio (usuário não registrado) em 11/02/2012 às 5:54 pm

    @Augusto, nem todas as verdades são populares ou todas as mentiras impopulares. A moderação só me incomoda quando parece flagrantemente ser feita por uma única pessoa, coisa que o seu sistema de moderação permite a quem esteja disposto a se dar ao trabalho.

    Quando a moderação é feita pelo público, não me incomoda. É preciso ler para moderar e esse é o objetivo de um comentário: ser lido. Já quando um número reduzido de pessoas quer calar uma outra, impedindo que um grupo muito maior de pessoas tenha acesso a opinião desse indivíduo só porque não concordam com suas idéias, isso tem um nome: censura. E censura tem sido coisa comum por aqui.

    Finalmente, sò para deixar essa impopular opinião bastante clara: responsabilizo sim, apenas o usuário nesse caso e não tenho medo de dizer isso. É a mesma coisa que eu me cortar com o aparelho de barbear e tentar responsabilizar a fábrica.

    Porfírio: a área de comentários está à sua disposição mesmo que você não goste das regras vigentes e às quais você está exposto quando participa no BR-Linux.

    Certamente você não é o primeiro usuário a ver seus comentários que frequentemente repetem um mesmo pequeno conjunto de ideias ou um mesmo comportamento serem frequentemente moderados de uma mesma maneira, e nem mesmo o primeiro a querer caracterizar esta moderação como censura.

    A repetição constante de um mesmo discurso seu usando o meu blog como caixa de ressonância, entretanto, não é mesmo bem-vinda por mim, e fico feliz que o sistema de moderação vigente esteja cumprindo bem o seu papel em vários destes casos.

    Porfírio (usuário não registrado) em 11/02/2012 às 6:10 pm

    @Weber, a Google não pode usar a Motrola ( sim ela não mudou de nome fantasia após a aprovação de sua aquisição, principalmente para esse nome ofensivo que não será moderado) para isso porque isso iria pôr em risco o ecossistema que ela lutou tão duro para conseguir.

    É exactamente o que seus inimigos querem que seja feito: ou que o código do Android seja fechado ou que a Google vire uma nova Apple. Vai ficar mais fácil lidar com ele assim.

    O mecanismo de pressão contra as fabricantes displicentes é o público e ninguém mais. O público tem a liberdade de comprar o que quer e as fabricantes de vender o que querem e podem. O papel dos técnicos como nós é ajudar o público a formar opinião a partir dos fatos.

    Porfírio (usuário não registrado) em 11/02/2012 às 6:18 pm

    @Augusto, quase todo mundo aqui tem uma opinião formada e muito bem formada sobre diversos assuntos e a repete com palavras diferentes todas as vezes em todas as oportunidades. Porquê vc aplica o conceito de repetição constante apenas a mim?

    Peço que vc faça uma análise sobre esse assunto. Vc fica feliz quando o seu sistema é explorado para calar alguém? Estranho, mas eu vivo em um mundo esquisito, então não me escandalizo por isso.

    Porfírio, só porque você é um exemplo extremo, não quer dizer que seja o único. Aqui mesmo nesta discussão há outros exemplos, de outros autores também bastante repetitivos e que foram moderados até mesmo de maneiras mais amplas do que a que foi aplicada ao seu comentário que estamos discutindo.

    Mas abusos não me agradam, e sempre que você tiver evidência ou suspeita de que algum comentário seu foi moderado por meio de abuso do sistema, use o formulário de contato informando os detalhes da suspeita e o link do comentário, para que eu possa apurar.

    Mas eu observo os registros do sistema com frequência, e os abusos mais recentes que tive que reverter (por minha própria iniciativa) foram contra os comentários de um antagonista frequente seu. Comentários que na minha opinião mereciam a moderação recebida, mas isso não é razão pra aceitar a tentativa der abuso.

    Porfírio (usuário não registrado) em 13/02/2012 às 11:40 am

    No final das contas, @Augusto, a minha leitura disso tudo é que vc. não se importa quando seu blog serve de “caixa de ressonância” para reverberar idéias que vc. mesmo aprova. E eu reconheço que isso é um direito seu, isso ficou claro pra mim.

    Vc. acredita que eu tenho sido um “caso extremo” de repetição? I don’t think so… Basta que apareça um certo tipo de notícia para determinados leitores acederem imediatamente com uma crítica destrutiva de alguma espécie, aliás na verdade são sempre as mesma “críticas” (a palavra troll me foi particularmente proibida, mesmo estando disponível a outros: basta usar e sou moderado em seguida), vez após vez. Ultimamente, eu nem estive muito animado em participar.

    Sem falar que eu resolvi fazer um histórico de como o BR-Linux tem me tratado desde que comecei a aparecer por aqui. Não é uma lista bonita e eu diria que é bastante injusta.

    Agradeço o seu convite de aparecer sempre que algum assunto me interessar. Eu o aceito. Mas meu interesse pelo BR-Linux tem diminuído bastante. Eu particularmente estou preferindo blogs onde o mantenedor não use o termo “meu blog” com tanta frequência.

    Desejo felicidades e sucesso!

    O histórico da área de comentários deste meu blog é repleto de exemplos de trolls que se julgaram injustiçados pelo tratamento que receberam após repetir mais do que a primeira dezena de vezes o seu discurso, sempre atribuindo aos outros, e não à si próprios, a responsabilidade pela acolhida que conquistaram.

    De qualquer forma, creio que a perda de interesse é recíproca. Também desejo sucesso a você nos blogs que for passar a frequentar!

    Víctor (usuário não registrado) em 13/02/2012 às 12:22 pm

    @Porfírio, e porque ninguém culpa os usuário na disseminação de malwares em outros istemas mas sempre o SO?

    Porfírio (usuário não registrado) em 13/02/2012 às 1:13 pm

    @Vitor, não entendi direito a sua pergunta. Você quis me perguntar o porque de ninguém culpar os usuários na disseminação de malware em outros sistemas que não o sistema Android?

    Bom, se for isso, deixa eu esclarecer direito o que eu escrevi no meu comentário anterior, com a esperança de não estar me tornando “repetitivo”:

    Pra começo de conversa, o usuário do sistema não é responsável (prefiro essa palavra no lugar de “culpado”) por disseminar malware. Ele é responsável por não atentar às regras básicas de segurança do sistema e por isso, se tornar vítima do malware.

    Se vc. não respeita o aviso de “não ultrapasse a faixa amarela” no metrô e sofre um acidente, a culpa é da administração do Metrô?

    Quando vc. fala dos outros sistemas vc. quer dizer os outros sistemas móveis mais em voga no momento?

    Se for isso, há uma resposta simples (e preocupante) à sua pergunta: sistemas de código fechado aliados a aplicativos de código fechado tornam os malwares desses sistemas mais difíceis de identificar.

    Outro fator é que usuários da plataforma da Apple, por exemplo, são cerceados de diversas maneiras e sabem que não podem reclamar de algumas coisas. O Jailbreak é uma prática muito comum, mas não autorizada pela fabricante. Se o usuário desbloqueia seu aparelho, instala algum app vagabundo de algum site esquisito internet afora e ganha um malware de presente, ele sabe que é uma relação causa-consequência e não vai reclamar.

    Já com o Android a gente pode tudo por premissa, então fica fácil acusar o mantenedor do projeto por qualquer problema que possa aparecer.

    @Augusto, me parece que a interpretação do que é troll ou não varia de pessoa para pessoa, certo? Reconheço que você é livre para ter a sua própria interpretação. Abraços.

    Cláudio Carlquist (usuário não registrado) em 13/02/2012 às 6:50 pm

    Voltando ao assunto do Malware chinês: acabei de receber um celular Star A3, comprado na Dealextreme. Habilitei o root e limpei o mesmo de todos os aplicativos chineses como teclados diversos, Baidu, jogos e aplicativos em madarim e outras tranqueiras, deixando o aparelho o mais ocidental possível. Infelizmente alguns aplicativos vitais foram customizados (como o Contacts, Messaging e Clock) e a substituição dos mesmos pelos aplicativos do Cyanogenmod resultaram em mal funcionamento, assim retornei os “customizados”. Em comparação com meu Nexus One rodando Cyanogenmod, vejo que o chinês apresenta alguns “serviços” que não aparecem no outro. Um scan pelo “AegisLab Antivirus” não detectou nada anormal, assim devo me preocupar com o fato de estar usando um Android produzido e vendido originalmente na China em meu dia a dia?

    Spif (usuário não registrado) em 13/02/2012 às 9:20 pm

    Cláudio um celular com android de um fornecedor confiável já pode ser bem perigoso, se não seguir alguns cuidados, devido à fragilidade da política para aceitar novos aplicativos.

    Agora um chinês do deal extreme? Vc é corajoso.

Este post é antigo (2012-02-10) e foi arquivado. O envio de novos comentários a este post já expirou.