Home - Convergência Digital

Ransomware para Android cresce 181% em seis meses

Convergência Digital* - 06/09/2017

Foram contabilizados mais de 235.000 detecções de ransomware para Android apenas na primeira metade de 2017, ou seja, 181% das detecções com relação ao ano inteiro de 2016, revela estudo da Trend Micro.

A recente onda de malware de bloqueio de tela e criptografia de arquivos visando dispositivos Android também ressalta a crescente predominância do ransomware móvel. Alguns destes incluem o SLocker, uma cópia do WannaCry e o uso malicioso de redes sociais legítimas, além do LeakerLocker que ameaça expor os dados pessoais da vítima. Além disso, especialmente agora que o código-fonte do SLocker foi declaradamente decompilado e divulgado no GitHub, é possível que surjam mais dessas ameaças.

Segundo a empresa de segurança, no passado, um ransomware de Android era bastante simples. Ele bloqueava a tela do dispositivo e exibia uma mensagem contendo o pedido de resgate. Sua evolução para cripto-ransomware apareceu em maio de 2014 na forma do Simple Locker (ANDROIDOS_SIMPLOCK.AXM), que era capaz de criptografar arquivos armazenados no dispositivo móvel e no seu cartão SD. Desde então, foram vistas ameaças similares - e algumas variantes, que são apenas versões repaginadas do malware original - reaparecerem em mercados paralelos de aplicativos. Outros foram ativamente impulsionados e atualizados para escapar da detecção.

Cripto-ransomware para Android e sua evolução

Desde a primeira aparição de um cripto-ransomware em maio de 2014, a Trend Micro vem monitorando e analisado o malware de criptografia de arquivos para Android: várias propriedades comuns foram descobertas.

Ícone e rótulo

A maioria usa o 'Adobe Flash Player', 'Video Player', muitos nomes de aplicativos de jogos populares como rótulo e o ícone padrão do Android ou o Adobe Flash Player para ícones. O rótulo e o ícone correspondem aos seus vetores de infecção: aplicativos de reprodução de vídeos e jogos. Deve ser lembrado ainda que o Flash não está mais disponível para Android há pelo menos cinco anos.

Nome do pacote

Os aplicativos Android consistem em pacotes, e devem incluir um pacote principal com um nome especificado.  É uma forma de distinguir um aplicativo do outro e até mesmo de outras versões de um mesmo aplicativo (isto é, quando está sendo atualizado/aperfeiçoado). A Trend Micro descobriu que os nomes de pacotes para aplicativos pré-instalados, como e-mail, calendário e navegadores, foram falsificados por vários cripto-ransomware móveis.  Um nome de pacote típico seria 'com.common.calendar'.  E como está associado a um aplicativo legítimo, ele pode persuadir o usuário a não o desinstalar.

Alvos

O cripto-ransomware tem um alcance mais global, mas também está identificando alvos.  Eles contam até mesmo interfaces personalizadas de usuário (UI), principalmente quando distribuídos em países do Oriente Médio. Com base no código decompilado e nas análises de sandboxing, a Trend Micro viu como essas ameaças estão se tornando mais específicas para cada alvo. Um exemplo é o ransomware para Android que imitava o WannaCry e preferia o pagamento via Alipay, WeChat e QQ, o que sugeria que este ransomware estava destinado a atacar usuários chineses.

Criptografia

O algoritmo tipicamente empregado é o AES devido ao seu desempenho.  Os tipos de arquivos direcionados também aumentaram ao longo do tempo.  Em maio de 2014, eram apenas 13, mas aumentou para 78 até o final desse mesmo ano.  Antes, as cifras eram programas codificados ou armazenados em shared_pref (onde as preferências do aplicativo são recuperadas), então era bastante fácil de descriptografar dados codificados.  Atualmente, a maioria das cifras pode ser personalizada e armazenada em servidores remotos.

Rotas além da criptografia de arquivos

Em meados de 2015, muitos ransomware para Android adicionaram funcionalidades maliciosas além da criptografia de arquivos para que os cibercriminosos pudessem ainda faturar mais em cima de suas vítimas. O primeiro destes era enviar um SMS e ligar para os números especificados pelo hacker. Os criminosos também mantinham os dispositivos no modo silencioso para que pudessem realizar as ações sem o conhecimento ou o consentimento da vítima.

No entanto, essas funcionalidades adicionais estão perdendo força, uma vez que dependem de permissões do usuários e interfaces de programas de aplicativos (APIs) relacionadas à chamada/inicialização, que podem ser detectadas pelo próprio sistema Android e por produtos de segurança (se houver algum instalado).  Os usuários também podem identificar essas rotinas maliciosas, principalmente se estas solicitarem permissões não relacionadas/suspeitas.

Lições Aprendidas

O ransomware está condenado a ser um grampo na plataforma móvel, já que sua base de usuário se tornou uma galinha dos ovos de ouro cada vez mais viável para os cibercriminosos. E com base na sua evolução desde a primeira colheita em 2014, o cripto-ransomware móvel adicionará outros vetores de ataque ao mix - o uso de vulnerabilidades da API, por exemplo.

Felizmente, segundo especialistas da Trend Micro, novos recursos de segurança estão sendo lançados no Android Oreo, particularmente, o Google Play Protect, que analisa aplicativos para comportamentos como criptografia maliciosa de arquivos.  Os aplicativos de download, por exemplo, agora precisarão ter permissões; os usuários devem autorizar diretamente a instalação de Pacotes de Aplicativos para Android por fonte.

Enviar por e-mail   ...   Versão para impressão:
 

LEIA TAMBÉM:

18/03/2020
Android 11 tem API de conectividade 5G

30/07/2019
Malware Agent Smith já infectou mais de 75 mil dispositivos no Brasil

10/07/2019
Malware sofisticado avança sobre usuários de bancos brasileiros

13/08/2018
Brasil é o alvo para ataques de phishing móveis na AL

16/05/2018
Ataques de ransomware crescem 116% em smartphones Android

06/09/2017
Ransomware para Android cresce 181% em seis meses

21/08/2017
Google lança sistema Android 8.0 com proteção para apps inseguros

17/04/2017
Google vai abrir Android a outros buscadores na Rússia

03/04/2017
Android supera o Windows e vira sistema operacional mais usado no mundo

15/03/2017
Google lança curso para brasileiro de certificação em Android

Destaques
Destaques

Venda de smartphones piratas dispara 135% no 1ºtri no Brasil

Tombo no primeiro trimestre foi de 8,7% - e chegou a 22,4% entre os aparelhos mais simples. Alta do dólar e a falta de componentes impactaram a venda dos dispositivos no país.

Tempo é um luxo que o Brasil não tem para fazer o 5G

Pesquisa da Omdia, ex-Ovum, em parceria com a Nokia, mostra que, nos próximos 15 anos, o 5G vai gerar R$ 5,5 trilhões para o País, sendo o governo beneficiado com o adicional de quase R$ 1 bilhão em receita com os serviços 5G.

Veja mais vídeos
Veja mais vídeos da CDTV
Veja mais artigos
Veja mais artigos

Uma escolha de Sofia no leilão de 5G

Por Juarez Quadros do Nascimento*

Em um país democrático, como o Brasil, sem análise estratégica, não daria para arriscar em dispor, comercial e tecnologicamente, de “uma cortina de ferro ou uma grande muralha” para restringir fornecedores no mercado de telecomunicações.


Copyright © 2005-2020 Convergência Digital ... Todos os direitos reservados ... É proibida a reprodução total ou parcial do conteúdo deste site