Código presente no antivírus móvel coletava identificadores, contatos, registros de chamadas e possivelmente localização, enviando os dados para infraestrutura associada a outro aplicativo do mesmo grupo.
| Componente | Aplicativo Android DU Antivirus Security, distribuído pelo Google Play, com código de coleta indevida identificado até a versão 3.1.5. |
| Vetor | A coleta era acionada na primeira execução do aplicativo, aproveitando permissões amplas normalmente solicitadas por aplicativos de antivírus móvel. |
| Impacto | Identificadores únicos, lista de contatos, registros de chamadas e possivelmente localização eram criptografados e enviados a servidor remoto, com uso posterior por outro aplicativo chamado Caller ID & Call Block – DU Caller. |
| Prioridade | Remover versões antigas, atualizar para versão sem o código de coleta, revisar permissões concedidas a aplicativos móveis e investigar tráfego histórico para infraestrutura associada. |
| Versões | A versão 3.1.5 foi a versão mais recente indicada com o código de privacidade; versões anteriores também poderiam conter a mesma lógica. |
| Artefatos | Infraestrutura citada inclui caller[.]work, reg[.]caller[.]work, vfun[.]caller[.]work, 47[.]88[.]174[.]218 e dailypush[.]news, todos defangados. |
O DU Antivirus Security, apresentado como aplicativo gratuito de proteção para Android, executava uma rotina de coleta de dados sensíveis do dispositivo sem consentimento do usuário. A atividade ocorria logo na primeira execução do aplicativo e envolvia informações que um usuário normalmente esperaria ver protegidas por um produto de segurança móvel: identificadores únicos do aparelho, lista de contatos, registros de chamadas e, de forma potencial, a localização do dispositivo. Após a coleta, os dados eram criptografados e transmitidos para um servidor remoto, criando um fluxo de telemetria que não correspondia à finalidade defensiva declarada pelo aplicativo.
O caso é tecnicamente relevante porque abusava da confiança concedida a aplicativos de antivírus. Em Android, esse tipo de aplicativo frequentemente solicita permissões extensas para examinar arquivos, contatos, chamadas, estado do dispositivo e outros sinais de risco. Quando essas permissões são usadas de forma abusiva, a superfície de exposição se torna maior do que em aplicativos comuns, pois o usuário tende a aceitar acessos amplos por associá-los à função de proteção. No DU Antivirus Security, a permissão funcional esperada para segurança móvel foi usada como cobertura para capturar informações privadas e repassá-las a uma infraestrutura ligada ao ecossistema do DU Caller.
O aplicativo estava disponível no Google Play e acumulava entre 10 milhões e 50 milhões de instalações, conforme os dados de distribuição da loja. Depois da comunicação do problema ao Google em 21 de agosto de 2017, o aplicativo foi removido em 24 de agosto de 2017. Uma nova versão sem o código prejudicial foi publicada em 28 de agosto de 2017. A versão 3.1.5 foi identificada como a versão mais recente ainda contendo o código de coleta, e versões anteriores poderiam continuar instaladas em dispositivos de usuários que não atualizaram ou que obtiveram o aplicativo por canais externos.
A cadeia começava quando o usuário instalava e abria o DU Antivirus Security pela primeira vez. Nesse momento, o aplicativo coletava dados locais do dispositivo antes de qualquer evidência de interação que justificasse a transferência para terceiros. Os elementos coletados incluíam identificadores únicos, que podem permitir correlação persistente entre sessões e instalações; contatos, que revelam relações pessoais e profissionais; registros de chamadas, que expõem números, frequência e duração de comunicações; e possivelmente localização, que acrescenta contexto físico ao perfil do usuário. O conjunto cria um retrato operacional do dono do aparelho, não apenas um inventário técnico necessário para antimalware.
Depois da coleta, as informações eram criptografadas e enviadas para caller[.]work. A criptografia, nesse cenário, não reduz o impacto de privacidade: ela apenas dificulta inspeção direta por intermediários e ferramentas de rede, enquanto preserva a transferência não autorizada para o operador do servidor. A infraestrutura apresentava conexões com o aplicativo Caller ID & Call Block – DU Caller. O subdomínio reg[.]caller[.]work exibia uma página PHP com hostname contendo referência a DU Caller, enquanto vfun[.]caller[.]work estava hospedado no endereço 47[.]88[.]174[.]218. O mesmo servidor também hospedava dailypush[.]news, domínio associado no material técnico a uma conta relacionada a Baidu, grupo ao qual os aplicativos DU pertenciam.
O uso posterior dos dados pelo DU Caller é uma parte importante do fluxo. O aplicativo de identificação e bloqueio de chamadas dependia de informações sobre números telefônicos e chamadas recebidas para fornecer contexto ao usuário. A coleta feita pelo antivírus alimentava esse ecossistema sem autorização explícita do dono do dispositivo. Em termos de segurança móvel, isso altera a classificação do comportamento: não se trata apenas de coleta excessiva por análise de ameaça, mas de transferência de dados pessoais para outra finalidade de produto. A função defensiva do antivírus passou a operar como ponto de entrada para um serviço comercial separado.
A superfície direta inclui usuários Android que instalaram o DU Antivirus Security em versões com o código de coleta, especialmente até a versão 3.1.5. O alcance potencial é elevado porque o aplicativo estava no Google Play, o que reduz a percepção de risco e amplia a distribuição para usuários que evitariam lojas alternativas. A loja oficial não impede, por si só, abusos de permissão, bibliotecas de terceiros problemáticas ou fluxos de coleta que só ficam claros após análise de comportamento. Para equipes de segurança corporativa, isso reforça que a origem em loja oficial deve ser tratada como um fator de reputação, não como garantia de conformidade.
Além do DU Antivirus Security, o mesmo código foi encontrado em outros 30 aplicativos. Doze deles estavam no Google Play e foram removidos depois da identificação. O conjunto total teria afetado entre 24 milhões e 89 milhões de usuários, considerando os números de instalação informados pela loja. A hipótese técnica indicada para esses aplicativos é o uso do código como biblioteca externa, transmitindo os dados para o mesmo servidor remoto empregado pelo DU Caller. Isso amplia o problema de um único aplicativo para uma cadeia de reutilização de componente, na qual vários aplicativos incorporam a mesma lógica de coleta e passam a compartilhar a mesma infraestrutura de envio.
A exposição não depende de exploração remota, escalonamento de privilégio ou execução de código pelo atacante. O fator crítico é a combinação de instalação voluntária, permissões concedidas e execução inicial do aplicativo. Em ambientes gerenciados, dispositivos com política permissiva de instalação, ausência de inventário de aplicativos e falta de visibilidade sobre permissões ficam mais vulneráveis a esse tipo de abuso. A consequência técnica confirmada é a coleta e transmissão de informações pessoais e de comunicação; qualquer alegação adicional, como comprometimento completo do dispositivo ou movimentação lateral, exigiria evidência específica que não está presente no caso.
- Dispositivos Android com DU Antivirus Security instalado em versão com o código de coleta, incluindo a versão 3.1.5 e versões anteriores.
- Usuários que concederam permissões amplas ao aplicativo por considerá-lo uma ferramenta de proteção móvel.
- Aplicativos adicionais que incorporaram a mesma biblioteca ou lógica de coleta e transmitiam dados ao mesmo servidor remoto.
A investigação deve começar pelo inventário de aplicativos instalados em dispositivos Android gerenciados, com atenção a DU Antivirus Security, Caller ID & Call Block – DU Caller e demais aplicativos que possam compartilhar a biblioteca de coleta. Em soluções de MDM ou EMM, a prioridade é correlacionar nome do pacote, versão instalada, origem da instalação e permissões concedidas. A presença de versão antiga é mais relevante do que a simples existência histórica do aplicativo, pois uma versão posterior sem o código prejudicial foi publicada em 28 de agosto de 2017. Ainda assim, instalações fora do Google Play podem manter versões vulneráveis disponíveis por tempo indefinido.
Na telemetria de rede, a defesa deve procurar conexões históricas ou tentativas de resolução DNS para caller[.]work e seus subdomínios, além de tráfego para 47[.]88[.]174[.]218 quando houver retenção suficiente. Como os dados eram enviados criptografados, inspeção de conteúdo pode não revelar o material transferido. A análise deve priorizar metadados: primeiro contato após instalação ou primeira execução, volume pequeno de dados logo após abertura do aplicativo, destino raro para o ambiente, e correlação temporal com permissões recém-concedidas. Em ambientes corporativos, essa sequência pode diferenciar coleta abusiva de tráfego normal de atualização ou telemetria legítima.
No endpoint móvel, sinais úteis incluem solicitações de acesso a contatos, chamadas e localização por um aplicativo de antivírus cuja política de privacidade ou finalidade funcional não justifique a transferência para serviço de identificação de chamadas. Equipes de resposta também devem revisar backups, logs de MDM e registros de auditoria para identificar usuários expostos. Quando houver integração com proxy, DNS corporativo ou segurança móvel, os domínios defangados devem ser pesquisados em consultas passadas, respeitando a retenção disponível. A ausência de tráfego observado não exclui exposição em dispositivos que operaram fora da rede monitorada.
- Instalações de DU Antivirus Security na versão 3.1.5 ou anteriores em inventário MDM, EMM ou lista local de aplicativos.
- Conexões DNS ou HTTP/HTTPS para caller[.]work, reg[.]caller[.]work, vfun[.]caller[.]work e tráfego associado a 47[.]88[.]174[.]218.
- Permissões concedidas para contatos, registros de chamadas e localização por aplicativos de antivírus móvel ou aplicativos que incorporaram a mesma biblioteca.
- Primeira execução do aplicativo seguida de comunicação com infraestrutura rara ou não alinhada à função declarada de proteção.
A mitigação imediata é remover versões antigas do DU Antivirus Security e garantir que qualquer instalação remanescente esteja em versão posterior à remoção do código de coleta. Em dispositivos corporativos, a ação deve ser feita por política centralizada, com bloqueio de reinstalação de versões antigas e restrição de instalação por fontes externas quando aplicável. Para usuários finais, a atualização isolada pode não ser suficiente se o pacote tiver sido obtido fora da loja oficial ou se houver outros aplicativos com a mesma biblioteca. A revisão precisa considerar o conjunto de aplicativos instalados, não apenas o antivírus nominal.
Em seguida, equipes de segurança devem revisar permissões concedidas a aplicativos de proteção móvel e identificação de chamadas. Permissões amplas não devem ser aceitas apenas pela categoria do aplicativo; elas precisam estar alinhadas a uma finalidade verificável e a controles de privacidade claros. Quando um aplicativo de segurança exige acesso a contatos e chamadas, a organização deve avaliar se a função é necessária, se os dados saem do dispositivo, se há contrato ou política de tratamento compatível e se a telemetria de rede confirma destinos esperados. Essa análise reduz risco de abuso por aplicativos que se apresentam como defensivos.
Como parte da resposta, recomenda-se pesquisar indicadores defangados em logs históricos, identificar usuários potencialmente afetados e documentar o período de exposição. A rotação de credenciais não é uma resposta direta para esse caso, pois o material descrito envolve contatos, chamadas, identificadores e possivelmente localização, não senhas. A ação correta é contenção do aplicativo, eliminação da versão afetada, redução de permissões, bloqueio de infraestrutura associada quando ainda houver tráfego, e validação por nova coleta de inventário. Para programas de segurança móvel, o caso reforça a necessidade de combinar reputação da loja, análise de permissões, inspeção comportamental e controle contínuo de aplicativos aprovados.
- Remover DU Antivirus Security em versões afetadas e impedir reinstalação de pacotes antigos por canais externos.
- Atualizar somente para versão confirmada sem o código de coleta quando houver necessidade operacional de manter o aplicativo.
- Pesquisar tráfego histórico para caller[.]work, subdomínios relacionados e 47[.]88[.]174[.]218 em DNS, proxy, firewall e segurança móvel.
- Revisar permissões de aplicativos móveis de antivírus, identificador de chamadas e utilitários que solicitam acesso a contatos, chamadas e localização.
- Aplicar política de aprovação de aplicativos móveis baseada em versão, origem, permissões, comportamento de rede e finalidade declarada.
0 Comentários