Os porta-retratos digitais baseados em Android da Uhale apresentam diversas vulnerabilidades críticas de segurança, e alguns modelos chegam a baixar e executar malware durante a inicialização.
A empresa de segurança móvel Quokka realizou uma análise detalhada do aplicativo Uhale e identificou comportamentos associados às famílias de malware Mezmess e Voi1d.
Os pesquisadores notificaram a ZEASN — agora chamada Whale TV — empresa chinesa responsável pela plataforma Uhale usada nos porta-retratos de várias marcas, mas não obtiveram resposta, mesmo após múltiplos contatos desde maio.
Entre as descobertas mais preocupantes, muitos dispositivos analisados fazem o download de payloads maliciosos de servidores localizados na China logo ao serem ligados.
“Na inicialização, muitos porta-retratos verificam e atualizam o aplicativo Uhale para a versão 4.2.0”, explicam os pesquisadores no relatório.
“Em seguida, o dispositivo instala a nova versão e reinicia.
Após essa reinicialização, o aplicativo atualizado inicia o download e a execução do malware.”
O arquivo JAR/DEX malicioso baixado fica armazenado na pasta do aplicativo Uhale e é carregado e executado sempre que o dispositivo é iniciado.
Os dispositivos analisados pela Quokka apresentavam o módulo de segurança SELinux desativado, vinham rootados por padrão, e vários componentes do sistema estavam assinados com chaves de teste AOSP.
Os pesquisadores encontraram evidências que associam os payloads baixados ao botnet Voi1d e ao malware da família Mezmess, com base em prefixos de pacotes, nomes de strings, endpoints, fluxo de entrega e localização dos artefatos.
Ainda assim, o vetor inicial de infecção dos dispositivos permanece desconhecido.
Além da entrega do malware — que não ocorreu em todos os porta-retratos Uhale — foram identificadas mais de uma dezena de outras vulnerabilidades.
Das 17 falhas de segurança detalhadas pela Quokka, 11 possuem identificadores CVE já registrados.
Entre as mais relevantes destacam-se:
- **CVE-2025-58392 / CVE-2025-58397**: implementação insegura do TrustManager permite ataques man-in-the-middle com injeção de respostas criptografadas forjadas, resultando em execução remota de código com privilégios root.
- **CVE-2025-58388**: o processo de atualização do app usa nomes de arquivos sem sanitização em comandos shell, possibilitando injeção de comandos e instalação remota de APKs arbitrários.
- **CVE-2025-58394**: todos os dispositivos testados vêm com SELinux desativado, sistema rootado por padrão e uso de chaves públicas de teste AOSP, tornando-os praticamente comprometidos desde a compra.
- **CVE-2025-58396**: app pré-instalado expõe um servidor de arquivos na porta TCP 17802 sem autenticação, permitindo que qualquer dispositivo na rede local crie ou apague arquivos arbitrariamente.
- **CVE-2025-58390**: as WebViews do aplicativo ignoram erros SSL/TLS e permitem conteúdo misto, facilitando ataques de injeção, interceptação de dados exibidos e possibilitando phishing ou falsificação de conteúdo.
Além disso, o app utiliza uma chave AES hardcoded (DE252F9AC7624D723212E7E70972134D) para descriptografar respostas do sdkbin.
Vários modelos contam com componentes de atualização Adups e bibliotecas desatualizadas, enquanto o aplicativo emprega padrões fracos de criptografia e chaves embutidas, elevando os riscos relacionados à cadeia de suprimentos.
Como esses dispositivos são comercializados por diversas marcas sem informar claramente a plataforma utilizada, é difícil estimar o número exato de usuários afetados.
O app Uhale acumula mais de 500 mil downloads no Google Play e 11 mil avaliações na App Store.
Os porta-retratos Uhale vendidos na Amazon reúnem quase mil avaliações de usuários.
A equipe do BleepingComputer tentou obter um posicionamento da ZEASN, mas não recebeu resposta até a publicação desta reportagem.
Especialistas recomendam que consumidores adquiram dispositivos eletrônicos apenas de marcas confiáveis, que utilizem imagens oficiais do Android sem modificações no firmware, com serviços do Google Play ativos e proteções integradas contra malware.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...