Pesquisadores da empresa de cibersegurança Infoblox revelaram que um navegador chinês popular, o Universe Browser, está enganando milhões de usuários. Promovido como uma ferramenta segura e focada em privacidade, o software é, na verdade, um malware sofisticado projetado para registrar tudo o que o usuário digita, alterar configurações de rede e instalar programas ocultos, agindo como um cavalo de Troia.
- Falsa sensação de segurança: VPN grátis pode ser porta de entrada para hackers
- 3 golpes digitais mais comuns no Brasil, segundo o Google (e como se proteger)
A descoberta, detalhada em um relatório que identifica o grupo por trás da ameaça como “Vault Viper”, liga o navegador diretamente a uma rede massiva de jogos de azar ilegais e ao crime organizado no Sudeste Asiático.
O achado é um grande alerta para usuários que buscam alternativas a navegadores tradicionais, migrando para opções como Brave, Tor ou DuckDuckGo na tentativa de escapar da vigilância e monetização. O Universe Browser explora exatamente essa desconfiança para criar uma armadilha. A Infoblox estima que sua base instalada esteja na casa dos “milhões”, com usuários acreditando estar protegidos enquanto, ironicamente, têm todo o seu tráfego de internet roteado por servidores na China e suas atividades monitoradas.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
A análise técnica da Infoblox é contundente: o navegador apresenta “características consistentes com trojans de acesso remoto (RATs) e outros malwares”. O software foi deliberadamente projetado para enfraquecer as defesas do computador, desabilitando recursos de segurança cruciais e abrindo backdoors para os criminosos.
Falsa promessa de privacidade
A isca usada pelo Universe Browser é sua principal arma. Ele é anunciado como um navegador “amigável à privacidade” e como uma ferramenta capaz de contornar a censura estatal — um atrativo poderoso em países como a China, onde o jogo online é estritamente proibido.
Não por acaso, o navegador é distribuído diretamente em sites de cassino online. Esses sites são operados pelo “white label” (fornecedor de plataforma) Baoying Group (também conhecido como BBIN), uma das maiores empresas de software para iGaming da Ásia, que a Infoblox identificou como o ator da ameaça “Vault Viper”.
O navegador é oferecido para Windows e Android e estava, inclusive, disponível na App Store oficial dos iPhones. A promessa é simples: use nosso software e você poderá jogar e navegar com segurança e anonimato. A realidade, no entanto, é um pesadelo de segurança.
Trojan de Acesso Remoto está no cerne do navegador
Assim que é instalado, o Universe Browser revela sua verdadeira natureza. A investigação da Infoblox, que realizou engenharia reversa da versão para Windows, detalha um processo de instalação multifacetado, focado em evasão e controle.
Primeiro, o instalador verifica se está rodando em uma máquina virtual ou “sandbox” (ambiente de testes isolado). Esta é uma técnica clássica de evasão usada por malwares para impedir que pesquisadores de segurança analisem seu comportamento. Se ele detecta que está sendo observado, simplesmente não executa suas funções maliciosas.
Uma vez “seguro” no sistema da vítima, ele sequestra uma instalação legítima do Google Chrome, substituindo o executável principal (“Chrome.exe”) por sua própria versão (“UB-Launcher.exe”) e garantindo que ele seja iniciado com o computador através de entradas no registro do Windows.
É aqui que o Trojan de Acesso Remoto (RAT) entra em ação. Na prática, um RAT transforma o computador da vítima em um terminal aberto para o invasor. É como se o cibercriminoso estivesse sentado na frente da máquina, com acesso a arquivos, capacidade de instalar outros malwares, ativar a webcam e, o mais alarmante, registrar tudo o que é digitado — incluindo senhas de banco e dados de cartão de crédito.
O coração da operação é o binário “UBService.exe”. Este componente:
- Muda a configuração de rede: Ele altera o resolvedor de DNS padrão do sistema para os servidores da Alibaba, permitindo monitorar e redirecionar o tráfego de internet;
- Estabelece controle: Ele usa chaves criptografadas obtidas de registros DNS TXT para estabelecer conexões SSH (um túnel de comunicação seguro) com servidores de Comando e Controle (C2) localizados na China, por onde todo o tráfego do usuário é roteado via proxies SOCKS5;
- Instala spyware: O navegador força a instalação de duas extensões. Uma delas, “Screenshot”, permite ao usuário tirar capturas de tela e enviá-las para um domínio controlado pelo bandido. A outra, “lineSelector”, verifica a geolocalização do usuário e o conecta a URLs específicas de pagamento de criptomoedas;
- Desativa defesas: O mais grave é que o navegador é executado desabilitando intencionalmente recursos de segurança cruciais, incluindo o “sandboxing” (que isola processos do navegador do resto do sistema) e o suporte a protocolos SSL seguros, “aumentando muito o risco em comparação com os navegadores convencionais”, afirma o relatório.
Crime organizado por trás do navegador
A Infoblox não deixa dúvidas de que o Universe Browser não é obra de hackers amadores, mas sim uma ferramenta de um sindicato do crime organizado. O grupo Vault Viper (Baoying Group) está estreitamente ligado ao ecossistema de golpes e lavagem de dinheiro do Sudeste Asiático.
O relatório da firma de segurança faz uma conexão direta entre o Baoying Group e o Suncity Group, cujo líder, Alvin Chau, um chefe da Tríade (máfia chinesa), foi condenado em 2023 a 18 anos de prisão por facilitar mais de US$ 105 bilhões em apostas ilegais.
O propósito do navegador, segundo os pesquisadores, é claro: ele é a “ferramenta perfeita para identificar jogadores ricos e obter acesso às suas máquinas“. Em vez de apenas lucrar com as apostas, o Vault Viper usa o navegador como uma “armadilha projetada para sugar os usuários por tudo o que eles valem”, roubando seus dados pessoais e financeiros.
Precedente perigoso e como se proteger
Embora o Universe Browser tenha como alvo principal usuários de jogos de azar na Ásia, ele abre um precedente perigoso para todo o mundo. Ele prova que o selo de “privacidade” está sendo usado ativamente como isca de engenharia social para convencer usuários a instalarem spyware voluntariamente.
A confiança do público em lojas de aplicativos oficiais também é abalada, já que o software malicioso chegou a ser aprovado e listado na App Store da Apple.
Para se proteger desse tipo de ameaça, a principal diretriz é a desconfiança saudável. É crucial ater-se a softwares de desenvolvedores renomados e com histórico comprovado. O download deve ser feito exclusivamente de lojas oficiais (App Store, Play Store) ou dos sites verificados dos próprios desenvolvedores.
No entanto, como este caso demonstra, mesmo a presença em uma loja oficial não é garantia absoluta de segurança. É vital verificar a reputação do desenvolvedor, ler análises e desconfiar de aplicativos que pedem permissões excessivas ou que, como o Universe Browser, são promovidos em ambientes de alto risco, como sites de apostas ilegais ou de pirataria.
Finalmente, qualquer aplicativo que solicite a desativação de recursos de segurança, como o “sandboxing” ou seu antivírus, deve ser tratado como uma ameaça imediata e removido. A busca por privacidade jamais deve exigir o sacrifício da segurança do sistema.
Leia mais no Canaltech
- Descarte incorreto de etiquetas de encomendas é porta de entrada para golpes
- Golpe do “compartilhamento de tela” usa WhatsApp para roubar senhas ao vivo
- “Rede fantasma” do YouTube tem mais de 3.000 vídeos que espalham vírus; conheça
Vídeo: Saiba como proteger todas as suas informações no celular
Leia a matéria no Canaltech.
