Um projetor de US$ 35 comprado pela internet não deveria assustar ninguém. Mas o pesquisador Zane St. John descobriu que o aparelho — um Magcubic HY300 Pro+, com Android 11 — vinha com malware de fábrica: código malicioso embutido pelo próprio fabricante, com privilégios de sistema. O detalhe que vira história: quase toda a investigação foi conduzida pelo Claude Code, o agente de programação da Anthropic, com pouca orientação passo a passo.
O que o aparelho fazia escondido
Logo que o projetor se conectou ao Wi-Fi, o filtro de DNS da casa acendeu. O malware de fábrica estava distribuído em cinco pacotes do sistema (com nomes que imitavam a HTC, como com.htc.expandsdk e com.hotack.silentsdk) e fazia de tudo: injeção de anúncios, atualizações por HTTP sem criptografia, instalação silenciosa de apps e exfiltração de dados. Pior: transformava a rede do dono em um nó de proxy residencial. O domínio de controle estava ligado a um provedor que se vende com "47 milhões de IPs residenciais em 190 países". Na frase do pesquisador, "meu projetor não estava só me espionando — estava vendendo a minha rede".
O que o Claude Code descobriu sozinho
Aqui está a parte que interessa a quem trabalha com tecnologia. Com ferramentas comuns (adb e o decompilador jadx), o pesquisador entregou os APKs decompilados ao Claude Code e deixou a IA decidir o que investigar. O agente escreveu um script em Python para decifrar strings ofuscadas por XOR, reconstruiu o protocolo de comando e controle (com criptografia AES-128) e até montou um cliente que conversou com os servidores ativos. Ele mapeou uma arquitetura de três estágios e analisou o firmware, achando scripts de boot que desligavam o Google Play Protect e mecanismos que sobreviviam à restauração de fábrica. "Eu não guiei o Claude Code passo a passo. Ele decidiu o que investigar, em que ordem e com qual profundidade", escreveu o autor no relato original.
Por que isso importa para o seu negócio
Tem duas lições aqui, e as duas valem para qualquer empresa. A primeira é de risco: dispositivo barato pode sair caro. Câmeras, roteadores, projetores e gadgets de marca desconhecida entram na sua rede com privilégios e podem trazer malware de fábrica — um problema de cadeia de suprimentos, não de descuido do usuário. E não é caso isolado: operações de malware pré-instalado como a BADBOX 2.0 já atingiram mais de 1 milhão de dispositivos Android, segundo pesquisadores de segurança. Coloque esses aparelhos em uma rede separada (uma VLAN ou a rede de visitantes), monitore o tráfego de DNS e desconfie de hardware sem procedência.
A segunda lição é de oportunidade: agentes de IA já fazem trabalho técnico pesado de verdade. Reverter malware costumava exigir um especialista sênior e dias de trabalho; aqui, um agente fez boa parte da análise sozinho. Isso não substitui o profissional de segurança, mas amplia o que uma equipe pequena consegue investigar. O caso do malware de fábrica nesse projetor é, ao mesmo tempo, um alerta sobre o que você liga na sua rede e uma amostra do que a IA já consegue fazer quando recebe uma boa pergunta.
Conteúdo reescrito e traduzido para PT pela redação luiscortex, revisado por humano.
Fonte: Zane St. John
