Corrigir ‘Android infectado’: redirecionamento no ARRIS da NET

A Linha Defensiva vem recebendo diversas reclamações de usuários da NET relatando redirecionamentos para sites como “adfly” no navegador do computador, bem como mensagens de “android infectado” no celular.

O problema é causado por uma alteração na configuração do modem/roteador ARRIS TG862. Não se sabe como essas alterações acontecem, mas é um problema comum em diversos roteadores (ver hipóteses ao final do texto). 

A NET foi consultada pelo portal G1 da Rede Globo e não se pronunciou sobre o assunto.

Este é um guia para reconfigurar o ARRIS TG862 com o objetivo de cessar os redirecionamentos.

Note que o seu Android não está necessariamente infectado. Essas mensagens são todas falsas e aparecem por causa de um redirecionamento do seu acesso à internet, não por causa de qualquer alteração no próprio computador ou celular.

Determine o endereço IP do Gateway

1. Aperte a tecla WINDOWS do teclado fica entre as teclas CTRL e ALT, ao lado da barra de espaço) junto da tecla R (WIN+R)
2. Você verá o “Executar”
3. Digite “cmd”
4. Clique em OK
5. Digite o comando ipconfig e aperte Enter
6. Anote o número que aparece ao lado de Gateway Padrão
7. É provável que este número seja 192.168.0.1

Abre o Painel do ARRIS

1. Em seu navegador web, coloque o número identificado no passo acima na barra de endereços.
2. O ARRIS pedirá um usuário e senha
3. O usuário padrão é admin e a senha é password.
4. Se isso não der certo e você não souber a senha e o usuário configurados, você precisará realizar um reset do modem. Veja esse vídeo com instruções. Se sua internet parar de funcionar após esse procedimento, você terá que falar com o suporte da NET, então cuidado!

Se der certo, você verá a tela abaixo

Clique na aba LAN Setup

Role para baixo até encontrar a opção DNS Override

Reconfigure o DNS Override

1. A foto acima é de um modem sem alterações maliciosos. Em um modem com alterações maliciosas, você verá a caixinha marcada.
2. Uma opção para solucionar o problema é desmarcar a caixa. Isso forçará o seu modem a usar as configurações recebidas da NET, que devem ser seguras. Para garantir o acesso mais rápido à web, esta é a opção recomendada pela Linha Defensiva.
3. Uma alternativa é configurar um DNS de terceiros, como o Google. Essa é a configuração mostrada na foto abaixo. Requer que você mantenha a caixa marcada e informe o endereço do DNS desejado. Se você digitar números inválidos, sua internet não funcionará corretamente. Nesse caso, desmarque a caixa para garantir o funcionamento e depois descubra os números corretos que você quer usar. Além do Google (números na foto), há também o OpenDNS.
4. Seja qual for sua decisão, clique em Apply e reinicie o modem, o computador, o celular e qualquer outro aparelho conectado à sua rede.

Troque a senha do seu roteador

1. Para evitar novos ataques, acesse novamente a interface de administração.
2. Na tela inicial, clique no botão Change Password.
3. Defina uma nova senha para o acesso. Anote essa senha para não esquecê-la.
4. Sem isso, você está sujeito a novos ataques.
5. Após acessar o painel de administração do modem, feche o navegador e abra-o de novo antes de navegar em outros sites, Não salve a senha no navegador.

Como criminosos alteram a configuração?

De uma maneira geral, a alteração da configuração pode ser feita por criminosos porque muitos os equipamentos não incluem proteções adequadas contra ataques chamados de CSRF (Cross-site Request Forgery). Na prática, esse é um ataque muda a configuração do seu roteador quando você acessa uma página da web ou até quando abre um e-mail.

O conteúdo do site ou do e-mail faz com que o navegador acesse um endereço do roteador e esse mero acesso já resulta na alteração da configuração. Então, um hacker pode invadir um site e colocar esse “código modificador” lá. Todo mundo que visitar a página terá a configuração modificada sem nenhum aviso.

Para isso, os criminosos também dependem do conhecimento do usuário e senha do equipamento. Por isso que ela deve ser alterada.

PORÉM, a quantidade de casos desse tipo afetando exclusivamente o ARRIS TG862 é um mistério. Esse equipamento é comprado diretamente pelo provedor de acesso (a NET, no caso) junto ao fabricante. Isso significa que pode existir outra vulnerabilidade ou um problema específico que só a NET e o fabricante conhecem. A Linha Defensiva recebeu relatos de pessoas que verificaram uma alteração no modem imediatamente após recebê-lo — o que é algo muito curioso.

Se mesmo alterando a senha você continuar tendo problemas e seguindo a dica acima, solicite uma alteração do equipamento para a NET, pois a operadora dispõe outros modelos. Caso eles queiram cobrar pela troca, a Linha Defensiva sugere acionar o Procon e a ANATEL. No entanto, você só pode fazer isso depois de tentar resolver o problema, pois só aí você pode alegar que houve uma falha na prestação do serviço.

Se você acionar o Procon por esse motivo, entre em contato com a Linha Defensiva. Temos interesse em saber o resultado. Boa sorte!