Na semana passada, o jornal norte-americano The Wall Street Journal revelou que celulares baratos vendidos na Ásia estavam vazando dados de usuários por meio de uma espécie de “malware” pré-instalado. A reportagem se baseava em um estudo da empresa de segurança Upstream, que foi divulgado na íntegra nesta semana, trazendo más notícias para o Brasil.
Segundo a Upstream, aparelhos vendidos por aqui também possuem o tal malware pré-instalado. Mais precisamente, o portador do vírus seria o MS50S, um modelo encontrado por menos de R$ 400 em lojas brasileiras, fabricado pela marca Multilaser. A empresa, por sua vez, nega toda a história.
O vilão em questão é um aplicativo desenvolvido por uma empresa de marketing taiwanesa chamada General Mobile, ou simplesmente “GMobi”. O app da empresa aparece em diversos celulares vendidos na Ásia com nomes diferentes. No Brasil, ele aparece como “Multilaser Update”, segundo a Upstream.
O aplicativo serve para realizar atualizações de firmware no esquema “over-the-air” (OTA), consumindo pouco ou nada da rede móvel do usuário. No entanto, uma análise da Upstream indica que o mesmo aplicativo usa dados de usuários para exibir propagandas na tela do celular.
Em detalhes
A Upstream diz que, desde novembro de 2017, um sistema de segurança para operadoras chamado Secure-D, desenvolvido pela empresa, começou a detectar “uma alta concentração de tentativas de transação bloqueadas no Brasil provenientes de smartphones Android vendidos sob a marca Multilaser”.
“Durante este período, 45% de todas as tentativas de transação fraudulentas de um serviço digital premium (um portal de jogos online) no Brasil originaram-se de dispositivos Multilaser”, diz a empresa de segurança. “E 99% de todas as solicitações de transação dos telefones da Multilaser no Brasil foram bloqueadas como fraudulentas pelo algoritmo de detecção de fraudes Secure-D.”
Enquanto isso acontecia no Brasil, o mesmo padrão de comportamento era detectado em telefones da marca Smart vendidos em Mianmar. O que os dois aparelhos têm em comum? O app da GMobi que faz atualizações de firmware OTA, chamado “Multilaser Update” no celular brasileiro, identificado pelo nome de arquivo “com.rock.gota”.
Numa análise feita em laboratório, a Upstream diz que este é o app responsável pelas tentativas de transações fraudulentas. Ele estaria fazendo transmissões de dados criptografados para um servidor operado pela GMobi em Singapura. Ele também solicita o download de materiais publicitários, como um banner de propaganda da Uber que usa o logo antigo da empresa.
Vale ressaltar que o app vem pré-instalado no celular da Multilaser e que ele não pode ser removido pelo usuário. A não ser que seja utilizado um processo conhecido como “root”, que desbloqueia privilégios de administrador no sistema, e que normalmente requer um bom nível de conhecimento técnico para ser realizado.
O que diz a Multilaser
Em um posicionamento enviado ao Olhar Digital, a assessoria de imprensa da Multilaser informou que a empresa nega que o tal aplicativo da GMobi seja capaz de realizar transações em segredo. Segundo ela, é possível que os servidores do app tenham sido hackeados, o que explicaria este comportamento detectado pela Upstream.
Além disso, a Multilaser diz que não pretende mais usar o app da GMobi para realizar essas atualizações. Em vez dele, a empresa pretende adotar uma solução do Google chamado “Gota” (Google Over The Air). O modelo MS50S, citado no estudo da Upstream, receberá nas próximas semanas uma atualização que faz a troca dos aplicativos, assim como todos os outros aparelhos da marca.
Veja o posicionamento da empresa na íntegra abaixo:
“A Multilaser, empresa que atua há mais de 30 anos no mercado brasileiro de eletrônicos e de suprimentos de informática, reforça seu compromisso em produzir e entregar aos consumidores produtos de qualidade e que facilitem seu dia a dia.
Sobre a informação de que um de nossos produtos saiu de fábrica com o malware instalado, informamos que o smartphone em questão, o MS50S, possui instalado o Gmobi, uma solução de atualização de firmware over-the-air (FOTA), que não possui capacidade de realizar cobranças por meio de carrier-billing.
Lembramos que o Gmobi não é um malware, mas, sim, uma solução de FOTA. E pelo que estamos apurando, existe a possibilidade de um hacker ter infectado o servidor da GMobi, o que favoreceu a coleta dados deste único aparelho em questão.
Aproveitamos a oportunidade para reforçar que a Multilaser já está migrando essa operação, que até então era feita pela Gmobi, para os servidores do Google. Também reiteramos que, nas próximas semanas, todos os aparelhos da Multilaser estarão atualizados com esse novo sistema.
Por fim, esclarecemos que a Multilaser, ao longo de todos esses anos, sempre trabalhou com o intuito de atender às regulamentações referentes às respectivas atividades de segmento e oferece produtos de qualidade a clientes e parceiros.”