Home - Convergência Digital

Ransomware para Android cresce 181% em seis meses

Convergência Digital - Carreira
Convergência Digital* - 06/09/2017

Foram contabilizados mais de 235.000 detecções de ransomware para Android apenas na primeira metade de 2017, ou seja, 181% das detecções com relação ao ano inteiro de 2016, revela estudo da Trend Micro.

A recente onda de malware de bloqueio de tela e criptografia de arquivos visando dispositivos Android também ressalta a crescente predominância do ransomware móvel. Alguns destes incluem o SLocker, uma cópia do WannaCry e o uso malicioso de redes sociais legítimas, além do LeakerLocker que ameaça expor os dados pessoais da vítima. Além disso, especialmente agora que o código-fonte do SLocker foi declaradamente decompilado e divulgado no GitHub, é possível que surjam mais dessas ameaças.

Segundo a empresa de segurança, no passado, um ransomware de Android era bastante simples. Ele bloqueava a tela do dispositivo e exibia uma mensagem contendo o pedido de resgate. Sua evolução para cripto-ransomware apareceu em maio de 2014 na forma do Simple Locker (ANDROIDOS_SIMPLOCK.AXM), que era capaz de criptografar arquivos armazenados no dispositivo móvel e no seu cartão SD. Desde então, foram vistas ameaças similares - e algumas variantes, que são apenas versões repaginadas do malware original - reaparecerem em mercados paralelos de aplicativos. Outros foram ativamente impulsionados e atualizados para escapar da detecção.

Cripto-ransomware para Android e sua evolução

Desde a primeira aparição de um cripto-ransomware em maio de 2014, a Trend Micro vem monitorando e analisado o malware de criptografia de arquivos para Android: várias propriedades comuns foram descobertas.

Ícone e rótulo

A maioria usa o 'Adobe Flash Player', 'Video Player', muitos nomes de aplicativos de jogos populares como rótulo e o ícone padrão do Android ou o Adobe Flash Player para ícones. O rótulo e o ícone correspondem aos seus vetores de infecção: aplicativos de reprodução de vídeos e jogos. Deve ser lembrado ainda que o Flash não está mais disponível para Android há pelo menos cinco anos.

Nome do pacote

Os aplicativos Android consistem em pacotes, e devem incluir um pacote principal com um nome especificado.  É uma forma de distinguir um aplicativo do outro e até mesmo de outras versões de um mesmo aplicativo (isto é, quando está sendo atualizado/aperfeiçoado). A Trend Micro descobriu que os nomes de pacotes para aplicativos pré-instalados, como e-mail, calendário e navegadores, foram falsificados por vários cripto-ransomware móveis.  Um nome de pacote típico seria 'com.common.calendar'.  E como está associado a um aplicativo legítimo, ele pode persuadir o usuário a não o desinstalar.

Alvos

O cripto-ransomware tem um alcance mais global, mas também está identificando alvos.  Eles contam até mesmo interfaces personalizadas de usuário (UI), principalmente quando distribuídos em países do Oriente Médio. Com base no código decompilado e nas análises de sandboxing, a Trend Micro viu como essas ameaças estão se tornando mais específicas para cada alvo. Um exemplo é o ransomware para Android que imitava o WannaCry e preferia o pagamento via Alipay, WeChat e QQ, o que sugeria que este ransomware estava destinado a atacar usuários chineses.

Criptografia

O algoritmo tipicamente empregado é o AES devido ao seu desempenho.  Os tipos de arquivos direcionados também aumentaram ao longo do tempo.  Em maio de 2014, eram apenas 13, mas aumentou para 78 até o final desse mesmo ano.  Antes, as cifras eram programas codificados ou armazenados em shared_pref (onde as preferências do aplicativo são recuperadas), então era bastante fácil de descriptografar dados codificados.  Atualmente, a maioria das cifras pode ser personalizada e armazenada em servidores remotos.

Rotas além da criptografia de arquivos

Em meados de 2015, muitos ransomware para Android adicionaram funcionalidades maliciosas além da criptografia de arquivos para que os cibercriminosos pudessem ainda faturar mais em cima de suas vítimas. O primeiro destes era enviar um SMS e ligar para os números especificados pelo hacker. Os criminosos também mantinham os dispositivos no modo silencioso para que pudessem realizar as ações sem o conhecimento ou o consentimento da vítima.

No entanto, essas funcionalidades adicionais estão perdendo força, uma vez que dependem de permissões do usuários e interfaces de programas de aplicativos (APIs) relacionadas à chamada/inicialização, que podem ser detectadas pelo próprio sistema Android e por produtos de segurança (se houver algum instalado).  Os usuários também podem identificar essas rotinas maliciosas, principalmente se estas solicitarem permissões não relacionadas/suspeitas.

Lições Aprendidas

O ransomware está condenado a ser um grampo na plataforma móvel, já que sua base de usuário se tornou uma galinha dos ovos de ouro cada vez mais viável para os cibercriminosos. E com base na sua evolução desde a primeira colheita em 2014, o cripto-ransomware móvel adicionará outros vetores de ataque ao mix - o uso de vulnerabilidades da API, por exemplo.

Felizmente, segundo especialistas da Trend Micro, novos recursos de segurança estão sendo lançados no Android Oreo, particularmente, o Google Play Protect, que analisa aplicativos para comportamentos como criptografia maliciosa de arquivos.  Os aplicativos de download, por exemplo, agora precisarão ter permissões; os usuários devem autorizar diretamente a instalação de Pacotes de Aplicativos para Android por fonte.

Enviar por e-mail   ...   Versão para impressão:
 

LEIA TAMBÉM:

06/09/2017
Ransomware para Android cresce 181% em seis meses

21/08/2017
Google lança sistema Android 8.0 com proteção para apps inseguros

17/04/2017
Google vai abrir Android a outros buscadores na Rússia

03/04/2017
Android supera o Windows e vira sistema operacional mais usado no mundo

15/03/2017
Google lança curso para brasileiro de certificação em Android

07/03/2017
Europa: Google segue usando o Android para práticas anticompetitivas

17/02/2017
Android e IOS estão em 99,6% dos smartphones vendidos

02/12/2016
Vírus para Android 'Gooligan' rouba um milhão de contas do Google

10/11/2016
Google rebate, de novo, Comissão Europeia e diz que Android aumentou competição

08/09/2016
Europa dá mais 12 dias à Google para responder em processo sobre Android

Destaques
Destaques

Melhores 4G do mundo se estabilizam em 45 Mbps

Com média de 20 Mbps, o Brasil não faz feio entre 77 países analisados nesse quesito. Mas a disponibilidade ainda está abaixo de 60% do tempo, de acordo com relatório do 3º trimestre divulgado pela Opensignal.

Smartphones responderam por 59% dos acessos à Internet na América Latina

Estudo da GSMA aponta que as operadoras vão investir US$ 70 bilhões para aumentar a cobertura 4G na região. Levantamento também mostra que há 300 milhões de pessoas digitalmente excluídas.

Veja mais vídeos
Veja mais vídeos da CDTV
Veja mais artigos
Veja mais artigos

Teles Tradicionais X Especializadas: o dilema para a IoT

Por Fábio Trindade

M2M e a Internet das Coisas são elementos centrais no debate das novas tecnologias que formarão o futuro em torno da 5G e continuarão em crescimento vertiginoso.


Copyright © 2005-2016 Convergência Digital ... Todos os direitos reservados ... É proibida a reprodução total ou parcial do conteúdo deste site