0
0
O ransomware para Android está em declínio desde 2017, no entanto, os investigadores de segurança descobriram uma nova família destas ameaças, agora apelidada de Android/ Filecoder.C. O método utiliza listas de contactos das vítimas e tenta espalhar-se pelos dispositivos móveis via SMS com links maliciosos.
Em seguida ficará a conhecer os contornos deste novo método utilizado por mentes mal intencionadas.
O novo ransomware foi detetato em distribuição através de tópicos relacionados com pornografia no Reddit. Em seguida, o perfil malicioso usado na campanha de distribuição de ransomware foi avançado pela ESET, mas ainda está ativo. Isto é, ainda se encontram em circulação ameaças deste género.
Há uma nova ameaça de ransomware para Android
Além disso e por um curto período de tempo, a campanha também foi veiculada no portal XDAdevelopers, um fórum para desenvolvedores de Android. Entretanto, com base baseado num relatório da agência de segurança, os operadores removeram as publicações maliciosas.
“A campanha agora descoberta é pequena e bastante amadora. No entanto, se a distribuição avançar, este novo ransomware pode tornar-se numa séria ameaça”, comenta Lukáš Štefanko, investigador da agência que liderou a investigação.
O novo ransomware é notável pelo seu mecanismo de propagação. Isto é, antes de começar a encriptar ficheiros, envia um lote de mensagens de texto para todos os endereços da lista de contactos da vítima, atraindo os destinatários para clicarem num link malicioso. Este, por sua vez, leva ao ficheiro de instalação do ransomware.
“Em teoria, isso pode levar a uma série de infeções – mais ainda, pois o malware tem 42 versões em diferentes idiomas da mensagem maliciosa. Felizmente, mesmo os utilizadores não suspeitos devem perceber que as mensagens estão mal traduzidas e algumas versões parecem não fazer sentido”, comenta Lukáš Štefanko.
A propagação pelos dispositivos móveis
Para além do seu mecanismo de propagação não tradicional, o Android/Filecoder.C tem algumas anomalias na encriptação. Exclui grandes ficheiros (acima de 50 MB) e imagens pequenas (menos de 150 kB). De igual modo, a sua lista de “tipos de ficheiros para encriptar” contém muitas entradas não relacionadas com Android, embora faltem também algumas das extensões típicas do Android.
“Aparentemente, a lista foi copiada do famoso ransomware WannaCry”, observa o investigador.
Existem também outros elementos intrigantes. Outros métodos para a abordagem não ortodoxa que os desenvolvedores deste malware usaram. Ao contrário do ransomware Android típico, o Android/Filecoder.C não impede que o utilizador aceda ao dispositivo bloqueando o ecrã.
As peculiaridades do Android/Filecoder.C
Para além disso, o resgate não é definido como um valor codificado. Em vez disso, o montante que os invasores solicitam em troca da promessa de desencriptar os ficheiros é criada dinamicamente usando o UserID atribuído pelo ransomware à vítima específica. Por conseguinte, o processo resulta num valor de resgate exclusivo, no intervalo de 0,01-0,02 BTC.
“O truque com um resgate único é novo: não o vimos antes em qualquer ransomware do ecossistema Android”, diz Štefanko. “Provavelmente é destinado a atribuir pagamentos às vítimas. Esta tarefa é tipicamente resolvida com a criação de uma carteira única de Bitcoin para cada dispositivo encriptado. Nesta campanha, só vimos uma carteira de Bitcoin a ser usada”.
Em síntese, a descoberta mostra que o ransomware ainda representa uma ameaça para os dispositivos móveis Android. Portanto, para se manter seguro, os utilizadores devem seguir os princípios básicos da segurança:
- Mantenha os seus dispositivos móveis atualizados, idealmente com a opção nas definições para que os mesmos sejam corrigidos e atualizados automaticamente para se manter protegido.
- Se possível, utilize o Google Play ou outras lojas de apps fiáveis. Estas lojas podem não estar completamente livres de aplicações maliciosas, mas a possibilidade de ser infetado é menor.
- Antes de instalar qualquer aplicação nos seus dispositivos móveis, verifique as suas avaliações e comentário. Concentre-se nos negativos, pois geralmente são de utilizadores legítimos, enquanto que o feedback positivo é frequentemente criado pelos hackers.
- Concentre-se nas permissões solicitadas pela aplicação. Se lhe parecerem inadequados para as funções da aplicação, evite fazer o download da mesma.
FONTE: https://pplware.sapo.pt/smartphones-tablets/android-dispositivos-moveis-malware-ransomware/