Desde a nossa descoberta inicial do Android/Simplocker que temos vindo a observar o surgimento de diversas variantes, sendo que as principais diferenças entre elas residem em:
Utilização de um Tor – alguns utilizam um domínio Tor .onion, enquanto outros utilizam domínios C&C mais convencionais.
Formas diferentes de se receber o comando de desencriptação, revelando que os resgates já foram pagos anteriormente.
Janelas de alerta diferentes, valores diferentes e tipos de moeda também.
Uso de imagens – algumas variantes mostram uma foto da vítima capturada pela câmara do telefone para aumentar o factor medo.
A encriptação simplista com AES e uma password hard-coded está ainda presente na maioria das variantes encontradas in-the-wild, sendo que algumas não contêm a função de filecoder, e agem simplesmente como bloqueadores de ecrã para conseguirem o pagamento do resgate.
Como mencionado anteriormente no blog da ESET, esta ameaça encontra-se neste momento mais concentrada na Rússia e na Ucrânia. Apesar de algumas variantes deste malware se tratarem de provas de conceito, estas ameaças estão a espalhar-se rapidamente e a causarem muitas dores de cabeça aos utilizadores.
Uma das questões mais importantes, quando um novo malware é descoberto diz respeito ao vector de infecção – ou vectores – ou seja, a forma como ele consegue entrar nos dispositivos da vítima. O sistema de telemetria ESET LiveGrid revelou os diversos vectores de infecção utilizadores pelo Android/Simplocker. Os mais comuns giram à volta da pornografia na Internet – algumas aplicações maliciosas fizeram-se passar por sistemas que permitem a visualização de vídeos para adultos. Outros, fazem-se passar por jogos muito populares, como o Grand Theft Auto: San Andreas.
A nossa análise revelou porém, um novo truque de disseminação que importa salientar, ou seja, o uso de um componente que permite descarregar malware. Utilizando este tipo de ferramenta para descarregar malware de forma dinâmica para o sistema infectado, é uma prática comum no mundo do malware para Windows, mas não no Android.
Uma destas formas de malware que analisámos (detectadas pela ESET como Android/TrojanDownloader.FakeApp) tenta levar o utilizador a descarregar um leitor de vídeo falso – que na realidade não passa do troiano Android/Simplocker. Desta forma é mais fácil escapar aos sistemas de verificação do Google Play porque:
Tudo o que a aplicação faz é abrir o URL fora da aplicação – isto não a qualifica como maliciosa
Para este efeito a aplicação maliciosa não necessita de praticamente nenhum tipo de permissões por parte do utilizador, pelo que pode parecer fidedigna até aos olhos dos utilizadores mais experientes.
Para além do que referimos, no exemplo que analisámos, o URL contido na aplicação não apontava directamente para o pacote APK Simplocker malicioso. Ao invés, o troiano é “servido” depois de um redireccionamento feito a partir do servidor controlado pelo cibercriminoso. Esta técnica é de facto algo que merece destaque e claro, precaução.
Este troiano que descrevemos estava disfarçado de uma aplicação legítima com o nome USSDDualWidget.