Imagem: Getty Images

Ação coordenada pela empresa de segurança Human Security desbaratou uma rede mundial com mais de 1 milhão de tv boxes piratas. A maioria dos aparelhos infectados eram brasileiros e usados para “gatonet”.

Ainda que fornecessem conteúdo pirata, em segundo plano aparelhos clicavam automaticamente em propagandas e ainda podiam ser invadidos por terceiros para cometimento de crimes.

O que aconteceu

Rede BadBox 2.0 era composta por mais de 1 milhão de dispositivos – a maioria tv boxes piratas, mas havia também alguns projetores e tablets com Android – infectados. Eles faziam parte de uma botnet (rede de máquinas zumbis controlada por um criminoso) que era usada para diversos tipos de fraudes. Ainda que fossem funcionais, tinham códigos maliciosos que serviam para os mais diversos fins.

Brasil soma 37,62% de aparelhos infectados da rede zumbi, portanto quase 400 mil dispositivos. Ao todo foram encontrados dispositivos infectados em mais de 200 países. Após nosso país, os mais infectados foram: Estados Unidos (18,21%), México (6,32%), Argentina (5,31%) e África do Sul (2,19%).

Dispositivos Android de baixo custo são particularmente populares no país. Geralmente, esses aparelhos vêm com aplicações de streaming ilegal pré-instalados. A maioria deles são produzidos na China e distribuídos globalmente
Gavin Reid, diretor de segurança da informação na Human Security

Dentre as ameaças invisíveis, as principais envolvendo aparelhos infectados no Brasil era “o serviço de proxy residencial”. Apesar do nome complexo, o dono da rede zumbi poderia controlar os dispositivos remotamente e usar o endereço IP da vítima para práticas ilegais – como criar contas falsas, ataques cibernéticos ou distribuir spam, por exemplo.

Outras atividades invisíveis das tv boxes infectadas incluem a exibição de propagandas em segundo plano. Pesquisadores também detectaram a abertura de vários anúncios em navegador, além de clique automático em propagandas.

Na prática, o dispositivo fica lento (pois fica fazendo várias atividades em segundo plano), gasta mais dados e gera dinheiro de anúncios para fraudadores com cliques fakes. “Essas atividades são invisíveis para o usuário médio, mas tem implicações sérias para a privacidade pessoal e à integridade do dispositivo”, explica Gavin.

No Brasil, a Anatel fez uma análise de tv boxes piratas com problemas semelhantes. No caso, elas poderiam ser controladas remotamente e ainda captar informações pessoais dos usuários, como registros financeiros ou arquivos e fotos de outros dispositivos que estão na mesma rede do aparelho.

Como rola essa infecção? De acordo com a Human Security, a maioria já vem instalado nessas tv boxes. Então, esses aparelhos já saem da loja com malwares ou com sistemas pré-instalados (ao se conectar na internet, essas caixas começam a fazer download de softwares maliciosos) ou já ligados a uma rede de dispositivos zumbis.

Os dispositivos mais citados como infectados no Brasil são tv boxes piratas (não homologados pela Anatel). A Human Security cita, por exemplo, os modelos Tourobox, X88, Mbox, HTV H8, MXQ9 Pro, entre outros. A Anatel tem uma página que mostra os dispositivos homologados para o mercado brasileiro.

Rede de dispositivos zumbis foi desbaratada por diversos atores. Human Security denunciou para sistemas de propaganda; o Google auxiliou acabando com a conta de anunciantes fraudulentos. Além disso, outras empresas de segurança como TrendMicro, Dr.Web, Malwarebytes e Bitsight ajudaram a derrubar servidores que permitiam controle remoto dos aparelhos.

Os dispositivos infectados estão fora da rede zumbi e agora “funcionam como deveriam”, explica a Human. De forma paralela, a Anatel informa que tem combatido e derrubado servidores piratas. Desde 2023, a agência informou que já realizou o bloqueio de 18 mil IPs que possibilitam gatonet. Além disso, dizem que já retiraram do mercado mais de 8,3 milhões de produtos piratas de sites de comércio eletrônico, grandes varejistas, além de importadores e centros de distribuição,

Em reportagem do UOL Prime, abordamos a dificuldade de barrar as iniciativas de “gatonet”. Há um esforço das autoridades em barrar endereços IP que reproduzem streaming e canais de TV por assinatura, porém os piratas ficam trocando a todo momento os servidores. Além disso, derrubar endereços de fora do país exige cooperação internacional, o que torna mais difícil a tarefa.

UOL