Já assistimos filmes em que hackers rastreiam e espionam dispositivos móveis, mesmo com os telefones desligados. E, como é o caso da maioria das coisas nos filmes de espionagem, isso continua no ramo de ficção.
Mas em 2015, a equipe de segurança móvel da AVG descobriu uma nova variedade de malware que pode desafiar esse preconceito. É um tipo de spyware conhecido como Android/PowerOffHijack, que sequestra o processo de desligamento, para fazer seu telefone parecer desligado, embora ainda esteja funcionando.
Visto pela primeira vez na China, o spyware se espalhou pelas lojas de aplicativos chinesas e infectou milhares de dispositivos com versões do Android anteriores à v.5 (Lollipop). Os usuários devem conceder ao malware a permissão de root, para que ele possa sequestrar o processo de desligamento.
Depois de pressionar o botão liga/desliga, o telefone exibe uma animação de desligamento autêntica e parece ter sido desligado. Mas, embora a tela esteja preta, o telefone continua ligado.
Enquanto o telefone estiver neste estado, o spyware Android/PowerOffHijack pode fazer chamadas, tirar fotos e realizar várias outras tarefas sem você saber.
Como isso acontece?
Em dispositivos com Android, quando o botão liga/desliga é pressionado, o malware invoca a função interceptKeyBeforeQueueing. interceptKeyBeforeQueueing verifica se o botão de desligar está pressionado e, em seguida, continua com o seguinte processo.
Quando o botão liga/desliga é liberado, interceptPowerKeyUp é invocado, iniciando outro processo executável.
De acordo com o trecho de código acima, a opção LONG_PRESS_POWER_GLOBAL_ACTIONS indica que algumas ações serão realizadas depois que o botão liga/desliga for liberado. A opção showGlobalActionsDialog abre uma caixa de diálogo de configuração do telefone para desligar, ficar mudo ou ativar o modo avião.
Se você selecionar a opção power off o malware chama mWindowManagerFuncs.shutdown.
Porém, mWindowManagerFuncs é um objeto de interface, que, na verdade, chamará a função de desligamento ShutDownThread. ShutDownThread.shutdown é o início real do processo de desligamento. Ele desliga o serviço de rádio primeiro e chama o serviço do gerenciador de energia para desligar a energia.
Finalmente, no serviço de gerenciamento de energia, uma função nativa é chamada para desligar a energia.
Como mWindowManagerFuncs.shutdown desativa os serviços de rádio do telefone, qualquer malware que visa sequestrar o processo de desligamento precisa interferir antes que essa função seja ativada. Vamos ver como o Android/PowerOffHijack faz isso.
Primeiro, o Android/PowerOffHijack pede a permissão de root. Depois de obtê-la, o spyware injeta o processo system_server e fazer hook do objeto mWindowManagerFuncs.
Neste ponto, ao pressionar o botão liga/desliga, você verá uma caixa de diálogo falsa em vez da versão autêntica do Android. E se você selecionar desligar, será exibida uma animação falsa de desligamento, a tela será desligada, mas a energia continuará ligada.
Por fim, para fazer com que seu celular pareça realmente desligado, também é preciso fazer hook em alguns serviços de transmissão do sistema.
Vejamos alguns exemplos:
Mesmo o spyware mais furtivo, como Android/PowerOffHijack, não consegue enganar o AVG AntiVirus para Android. Nossa abrangente ferramenta de segurança móvel verifica seu dispositivo para detectar e remover malware e também o mantem seguro contra ataques futuros. Proteja seus dispositivos contra spyware, vírus e outros malwares e seus dados contra ladrões do mundo real com o Rastreador de Telefone Anti-Theft integrado.
Privacidade | Reportar vulnerabilidade | Contatar segurança | Contratos de licença | Sobre Trabalho Escravo Contemporâneo | Cookies | Declaração de acessibilidade | Não vender minhas informações | | Todas as marcas comerciais de terceiros pertencem a seus respectivos proprietários.
