O ransomware para Android pode estar em declínio desde 2017, mas os investigadores da ESET descobriram uma nova família de ransomware, o Android/ Filecoder.C. Utilizando listas de contactos das vítimas, tenta espalhar-se rapidamente via SMS com links maliciosos.
O novo ransomware foi detetato em distribuição através de tópicos relacionados com pornografia no Reddit. O perfil malicioso usado na campanha de distribuição de ransomware foi reportado pela ESET, mas ainda está ativo. Por um curto período de tempo, a campanha também foi veiculada no fórum “XDA developers”, um fórum para desenvolvedores de Android. Com base baseado num relatório da ESET, os operadores removeram os posts maliciosos.
“A campanha agora descoberta é pequena e bastante amadora. No entanto, se a distribuição avançar, este novo ransomware pode tornar-se numa séria ameaça”, comenta Lukáš Štefanko, investigador da ESET que liderou a investigação.
O novo ransomware é notável pelo seu mecanismo de propagação. Antes de começar a encriptar ficheiros, envia um lote de mensagens de texto para todos os endereços da lista de contactos da vítima, atraindo os destinatários para clicarem num link malicioso que leva ao ficheiro de instalação do ransomware. “Em teoria, isso pode levar a uma série de infeções – mais ainda, pois o malware tem 42 versões em diferentes idiomas da mensagem maliciosa. Felizmente, mesmo os utilizadores não suspeitos devem perceber que as mensagens estão mal traduzidas e algumas versões parecem não fazer sentido”, comenta Lukáš Štefanko. Para além do seu mecanismo de propagação não tradicional, o Android/Filecoder.C tem algumas anomalias na encriptação. Exclui grandes ficheiros (acima de 50MB) e imagens pequenas (menos de 150 kB), e a sua lista de “tipos de ficheiros para encriptar” contém muitas entradas não relacionadas com Android, embora faltem também algumas das extensões típicas do Android. “Aparentemente, a lista foi copiada do famoso ransomware WannaCry”, observa Štefanko.
Existem também outros elementos intrigantes para a abordagem não ortodoxa que os desenvolvedores deste malware usaram. Ao contrário do ransomware Android típico, o Android/Filecoder.C não impede que o utilizador aceda ao dispositivo bloqueando o ecrã. Para além disso, o resgate não é definido como um valor codificado, em vez disso, o montante que os invasores solicitam em troca da promessa de desencriptar os ficheiros é criada dinamicamente usando o UserID atribuído pelo ransomware à vítima específica. Este processo resulta num valor de resgate exclusivo, no intervalo de 0,01-0,02 BTC.
“O truque com um resgate único é novo: não o vimos antes em qualquer ransomware do ecossistema Android”, diz Štefanko. “Provavelmente é destinado a atribuir pagamentos às vítimas. Esta tarefa é tipicamente resolvida com a criação de uma carteira única de Bitcoin para cada dispositivo encriptado. Nesta campanha, só vimos uma carteira de Bitcoin a ser usada”.
De acordo com Lukáš Štefanko, os utilizadores com dispositivos protegidos pelo ESET Mobile Security estão a salvo desta ameaça. “Eles recebem um aviso sobre o link malicioso, se ignorarem o aviso e fizerem o download da aplicação, a solução de segurança vai bloqueá-lo”.
Esta descoberta mostra que o ransomware ainda representa uma ameaça para os dispositivos móveis Android. Para se manter seguro, os utilizadores devem seguir os princípios básicos da segurança:
• Mantenha os seus dispositivos atualizados, idealmente com a opção nas definições para que os mesmos sejam corrigidos e atualizados automaticamente para se manter protegido.
• Se possível, utilize o Google Play ou outras lojas de apps fiáveis. Estas lojas podem não estar completamente livres de aplicações maliciosas, mas a possibilidade de ser infetado é menor.
• Antes de instalar qualquer aplicação, verifique as suas avaliações e comentário. Concentre-se nos negativos, pois geralmente são de utilizadores legítimos, enquanto que o feedback positivo é frequentemente criado pelos hackers.
• Concentre-se nas permissões solicitadas pela aplicação. Se lhe parecerem inadequados para as funções da aplicação, evite fazer o download da mesma.
• Utilize uma solução de segurança para dispositivos móveis de confiança.