De acordo com um levantamento da empresa de segurança Upstream, publicado pelo The Wall Street Journal, a brasileira Multilaser estaria vendendo smartphones no mercado nacional que chegam ao consumidor já com um malware instalado. O código malicioso basicamente tenta fraudar transações online e também poderia gerar cobranças em nome do usuário diretamente em sua fatura de telefonia mobile. No caso de linhas pré-pagas, ele poderia inscrever o usuário em serviços indesejados simplesmente para consumir seus créditos.

De acordo com a Upstream, esta é a primeira vez que a empresa vê esse tipo de fraude atrelada a modelos de smartphone específicos em vez de endereços de IP comuns ou mesmo regiões geográficas.

Um aparelho da Multilaser em específico teria sido afetado pelo malware instalado de fábrica, o MS50s. Outros três celulares foram identificados com o mesmo código malicioso instalado de fábrica, mas eles não são vendidos no Brasil, sendo modelos de marcas locais de Myanmar.

ms50sAparelho da Multilaser foi encontrado com malware embarcado de fábrica

No MS50s, o dito malware estaria disfarçado com o nome de “Multilaser Update”, mas seu nome real, aquele que aparece na lista de processos do Android é “com.rock.gota”. Esse app, naturalmente, não está disponível na Play Store, e esse aparelho sequer tem certificação da Google para receber atualizações via OTA. Por conta disso, a Multilaser utiliza um outro esquema de atualizações paralelo de uma empresa chinesa chamada Gmobi.

Os especialistas da Upstream chegaram a identificar que, assim que o celular é ligado, ele imediatamente começa a se comunicar de forma criptografada com um servidor da Gmobi e passa a baixar pacotes de propaganda. Esses anúncios podem ser usados para fraudar impressões de outros anúncios na internet ou mesmo dentro do software do próprio smartphone. Com isso, o malware também consegue gerar lucro para seus criadores com renda de propagada indevida.

ms50sEste é um exemplo de propaganda trazida para o MS50s pelo malware. Somente em novembro de 2017, a Upstream identificou mais de 2 milhões de transações fraudulentas vindas desse aparelho em específico.

O pior de tudo é que o com.rock.gota não pode ser desinstalado do aparelho da maneira tradicional, indicando que ele foi carregado junto com a ROM original do smartphone. Para se livrar dele, é necessário obter acesso Root, o que não é exatamente um processo simples de ser realizado, ainda mais para o público que compra modelos básicos como o MS50s.

O que ele causa?

Entre os malefícios que esse malware pode trazer para o consumidor está o consumo indevido do seu pacote de dados com o download de pacotes de anúncios, bem como com a comunicação indevida e constante com os servidores da Gmobi. Dados dos usuários também são extensivamente coletados, o que inclui detalhes de email e localização precisa via GPS.

Multilaser se defende

Em comunicado oficial ao TecMundo, a negou que o MS50s tenha um malware instalado, questionando as acusações da Upstream. “O dispositivo Multilaser MS50S possui instalado o Gmobi, uma solução de atualização de firmware over-the-air (FOTA), que não possui capacidade de realizar cobranças por meio de carrier-billing, como é sugerido”, disse o porta-voz da Multilaser.

De acordo com a marca, o dispositivo em questão tem seu software e hardware desenvolvido no Brasil em conjunto com parceiros na Ásia, mas não revelou exatamente quais empresas fizeram parte do projeto do MS50s.

Contudo, a Multilaser pretende abandonar o Gmobi. “A Multilaser não está mais utilizando o Gmobi nos seus novos projetos de smartphones e tablets. Ele foi substituído pela solução do Google (GOTA, Google Over The Air). Dentro das próximas semanas o Multilaser MS50s receberá automaticamente uma atualização de sistema para ficar padronizado ao restante da linha.

Atualização - 11/07/18 - 17h05

Hoje (11), a Multilaser emitiu um novo comunicado comentando que existe a possibilidade de algum hacker ter invadido os sistemas da Gmobi e roubado dados de usuários do MS50s, tais como IMEI e localização obtida por WiFi. Isso pode ter sido usado para direcionar anúncios, mas a empresa não admite diretamente que isso possa ter acontecido. A Multilaser também nega as acusações da Upstream de que o Gmobi embute um malware no software dos smartphones em que é utilizado.

Cupons de desconto TecMundo: