Uma pesquisa realizada pelos pesquisadores do Malwerebytes encontrou algo um tanto inusitado em um smartphone que foi financiado pelo governo dos EUA: Nada mais nada menos que um malware pré-instalado. Outro detalhe um tanto incomum é que o vírus não pode ser removido sem que o dispositivo fique completamente inutilizável. O smartphone em questão é o UMX U683CL que é vendido como parte do programa federal Assurance Wireless da Virgin Mobile. Fundado pela FCC em 1985 e denominado Lifeline o programa disponibilizado pela operadora americana visa tornar os serviços de comunicação mais acessíveis para os consumidores de baixa renda – o dispositivo custa apenas US$ 35 através deste programa.

UMX U683CL

O dispositivo possui configurações de entrada e vem equipado com um Processador Qualcomm Snapdragon 210, 1GB de memória RAM, tela LCD 480p de 5 polegadas, bateria de 2000 mAh e Android Go. Certamente não é uma oferta ruim para aqueles que não possuem condições financeiras de adquirir um smartphone para se comunicar com seus entes mais próximos, mas parece que o preço por algo acessível vem à custa da perda de alguma privacidade. A equipe da Malwarebytes encontrou não um, mas duas instâncias de malware pré-instalado no UMX 683CL.

O retorno do Adups

O primeiro aplicativo encontrado com malware se auto-identifica “Wireless Update”, ele é a única maneira de atualizar o dispositivo, mas ele também tem a capacidade de instalar aplicativos automaticamente em segundo plano sem o consentimento do usuário. Os especialistas do Malwarebytes identificaram este vírus como Android/PUP.Riskware.Autoins.Fota.fbcvd, ou Adups.

A algum tempo atrás, mais precisamente em 2017, o malware Adups também foi encontrado em alguns smartphones da BLU, os dispositivos eram vendidos pela Amazon e a empresa logo tomou as medidas cabíveis retirando eles de sua loja. O vírus coletava muitos dados do usuário, incluindo todo o corpo de mensagens de texto, listas de contatos, histórico de chamadas com números de telefone completos e as identificações do dispositivo, como o IMSI e o IMEI.

Já no caso do UMX U683CL, o malware imediatamente começa a instalar aplicativos em segundo plano toda vez que o dispositivo é ligado e conectado à internet. Os aplicativos instalados estão livres de malware até agora, mas isso ainda é inteiramente feito sem o consentimento do usuário e também não significa que eles estarão livres de vírus no futuro.

O vírus pré-instalado não pode ser removido

A pior parte da história vem agora! O segundo aplicativo denominado Android/Trojan.Dropper.Agent.UMX é parte vital do sistema e vem como parte do próprio aplicativo de configurações do dispositivo o que não permite sua remoção sem que o dispositivo seja inutilizável.

Alguns usuários relatam o surgimento de anúncios em tela cheia, incluindo na tela de bloqueio. Os especialistas do Malwarebytes combinaram o trojan com outros malwares e constataram que eles são de origem chinesa. Também foi encontrado outro malware no processo com.android.google.bridge.LibImp, conhecido como Android/Trojan.HiddenAds.WRACT. Este não vem pré-instalado no dispositivo, mas apresenta-se em forma de notificação intitulado “Full”, sem qualquer outro tipo de informações. É possível desinstalá-lo, embora não se saiba ao certo se ele se foi para sempre após o processo.

Os pesquisadores da Malwarebytes entraram em contato com a Assurance Wireless informando o ocorrido, mas até o momento, não receberam nenhuma resposta. É triste ver que um smartphone destinado a pessoas de baixa renda pode comprometer sua privacidade.

Até o momento, não existe nenhuma maneira de remover o malware sem perder o dispositivo por completo.

Fontes: MSPowerUser e XDA-Developers