TV box: Brasil é o principal alvo de vírus que usa aparelhos em fraudes

Resumo

• Mais de 1 milhão de dispositivos, entre TV boxes, tablets e projetores, estão infectados com um novo malware.
• O Brasil lidera o número de dispositivos comprometidos.
• Cibercriminosos utilizam os TV boxes infectados para aplicar fraudes sofisticadas, como anúncios ocultos e tráfego falso, sem que os usuários percebam.

Pesquisadores da Human Security anunciaram nesta quarta-feira (05/03) que pelo menos 1 milhão de dispositivos ao redor do mundo, entre TV boxes, tablets e projetores, estão infectados com um novo malware. A maioria das vítimas está no Brasil.

Apelidada de Badbox 2.0, essa é considerada a maior botnet já descoberta envolvendo dispositivos de TV conectados (CTV). Uma botnet é uma rede de aparelhos infectados por malware, controlados remotamente por cibercriminosos.

Na prática, ao adquirir um TV box infectado, o consumidor pode ter seu dispositivo utilizado em fraudes sem sequer perceber. Além disso, o aparelho pode ser integrado a redes de proxy ilegais. Em casos mais graves, há possibilidade de roubo de dados pessoais e criação de contas falsas para ataques cibernéticos.

Como a operação Badbox 2.0 funciona?

Em 2023, os mesmos pesquisadores da Human Security já haviam descoberto que milhares de TV boxes utilizadas em residências, escolas e empresas possuíam backdoors secretos, o que possibilitava o uso em crimes cibernéticos e fraudes online. Esse foi o primeiro Badbox.

A versão 2.0 do malware se tornou ainda mais sofisticada: em vez de apenas modificar o firmware dos dispositivos antes da venda, os invasores utilizam técnicas como downloads disfarçados e aplicativos clonados que imitam softwares legítimos para espalhar a infecção.

Segundo a Human Security, o Badbox 2.0 realiza quatro tipos de fraude:

1. Fraude programática de anúncios: inclui a exibição de anúncios ocultos renderizados por aplicativos pré-instalados e WebViews disfarçados, que redirecionam os usuários para sites de jogos repletos de anúncios;
2. Fraude de cliques: dispositivos infectados geram tráfego automatizado para sites de baixa qualidade, clicando em anúncios e esgotando os orçamentos dos anunciantes;
3. Criação de nós de proxy residencial: o tráfego é redirecionado através do IP de dispositivos infectados, criando uma rede de proxy controlada por criminosos;
4. Apropriação indevida de contas e ataques cibernéticos: roubo de credenciais, criação de contas falsas, exfiltração de informações sensíveis e ataques DDoS são realizados por agentes que adquirem serviços de proxy residencial.

Quais países estão sendo mais afetados?

Os pesquisadores identificaram o malware em 222 países, com grande número de dispositivos infectados nos Estados Unidos, México, Argentina e Colômbia. Mas a maioria das vítimas está no Brasil, onde os TV boxes têm se tornado cada vez mais populares para assistir filmes e séries do streaming e acompanhar jogos esportivos.

Esses dispositivos são explorados para fraudes publicitárias e serviços de proxy clandestinos, e as conexões são usadas sem o conhecimento dos proprietários.

As investigações indicam que diversos grupos, possivelmente ligados a “entidades comerciais” na China, como afirmou à Wired Fyodor Yarochkin, pesquisador sênior de ameaças da Trend Micro, estão por trás das ações coordenadas dos criminosos. 

Além de fraudes publicitárias e de cliques, os dispositivos infectados são utilizados para alimentar redes de proxy ilegais, que mascaram atividades suspeitas na internet.

Segundo a Wired, empresas como Google — que colaborou com a pesquisa —, Trend Micro e Shadow Server estão agindo para conter o impacto, bloqueando servidores e encerrando contas envolvidas nas fraudes. 

Especialistas alertam que os criminosos seguirão adaptando as táticas e recomendam cautela aos consumidores ao escolher dispositivos mais baratos, pois podem conter softwares ocultos com fins ilícitos. O Google recomenda verificar se o seu dispositivo é certificado pelo Google Play Protect.

Com informações da Wired

Continue lendo ↓