ESET analisou o primeiro Ransomware para Android que encripta ficheiros

Na semana passada assistimos à descoberta (um pouco antecipada) de um troiano para dispositivos móveis muito interessante – uma vez que consistia no primeiro indício do surgimento de um ransomware que encriptava os ficheiros destinado ao sistema operativo Android.

Agora e com mais dados ao nosso dispor, vamos analisar toda a informação minuciosamente para sabermos ao certo com que lidamos…

No ano passado foi descoberto um híbrido que incluía características de um antivírus falso (rogue AV) e ransomware (do tipo lockscreen, não um encriptador de ficheiros) que conforme relatou a Symantec foi baptizado com o nome de Android Defender. Ele tinha todas as características típicas de um antivírus falso e todas as características típicas de um ransomware. A ESET detecta esta ameaça como Android / FakeAV. Uma versão menos agressiva voltou a ser encontrada e foi analisada pela Sophos em Maio de 2013.

Já no mês passado, o blog Malware don’t need Coffee reportou o surgimento de um novo ransomware para Android.

Uma vez mais, esta foi uma migração evolutiva de um tipo de malware muito recorrente nos últimos anos que passou do Windows para a plataforma Android. Apesar de alguma ligação ao Cryptolocker (um dos muitos troianos que encriptam ficheiros e que a ESET detecta como Win32/Filecoder, foi sugerido pela Kaspersky que o malware detectado pela ESET como Android/Koler nem era Cryptolocker, nem encriptava todos os ficheiros presentes no dispositivo infectado.

Isto, porém, modificou-se com a descoberta mais recente, que ocorreu na semana passada. Este troiano Android, detectado pela ESET como Android / Simplocker, depois de colocar “o pé” num dispositivo Android, verifica o cartão SD à procura de determinados tipos de ficheiros, encripta-os e exige um resgate para desencriptar os ficheiros. Vamos olhar para este malware com maior detalhe.

Após ser lançado, o troiano mostra a seguinte mensagem de resgate e encripta os ficheiros num processo separado em segundo plano.

1.-Ransom-message-614x1024

A mensagem de resgate aparece escrita em russo e exige o pagamento em hryvnias ucranianas, por isso é justo pensar-se que a ameaça está direccionada a esta região. Isto não é surpreendente uma vez que as primeiras SMS com troianos em meados de 2010 também eram originárias da Rússia e da Ucrânia. A mensagem traduz-se aproximadamente por:

AVISO: O seu telefone está bloqueado!

O dispositivo está bloqueado devido à visualização e distribuição de pornografia infantil, zoofilia e outras perversões.

Para desbloquear necessita de pagar 260 UAH.

No caso de não pagar vai perder todos os dados do seu dispositivo.

O malware convida a vítima a pagar o resgate utilizando o serviço MoneXy e por razões óbvias, uma vez que não é tão facilmente detectável como a utilização de um cartão de crédito normal. 260 UAH corresponde a cerca de 16 euros.

O Android / Simplocker.A analisa o cartão SD em busca de ficheiros com as seguintes extensões e que podem ser imagens, documentos ou vídeos: jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, AVI, MKV, 3GP, MP4 e encripta-os usando AES.

2.-Files-encrypted-614x1024

Para além disso contacta também o servidor Command & Control e envia algumas informações importantes como o IMEI do dispositivo. Curiosamente o servidor C&C está alojado num domínio TOR .onion para garantir a sua protecção e manter-se anónimo.

source-code

Como pode observar na janela acima, não existe nenhum campo de entrada para a introdução do código de confirmação de pagamento, como observámos nos exemplos anteriores de ransomware para Windows. Ao invés disso, o malware escuta o seu servidor C&C à espera de um comando – provavelmente emitido após o pagamento ser recebido – para desencriptar os arquivos.

A amostra que analisámos chegou sob a forma de uma aplicação denominada ‘Sex xionix’. Estima-se que a sua prevalência seja muito baixa neste momento.

A nossa análise do Android/Simplock.A revelou que estamos a lidar com uma prova de conceito ou com um trabalho em progresso, ao invés do produto final.

Apesar disso, o malware é plenamente capaz de encriptar os ficheiros do utilizador, que se podem perder caso a chave de encriptação não seja recupeada. Embora o malware tenha a funcionalidade de descriptografar os ficheiros, recomendamos fortemente que não pague, até – porque isso só irá motivar outros autores de malware a continuarem com este tipo de operações.

O que recomendamos, é que os utilizadores se protejam contra ameaças utilizando, por exemplo, o ESET Mobile Security for Android.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

fourteen − 1 =