Clicky

Home - Convergência Digital

Ransomware para Android cresce 181% em seis meses

Convergência Digital* - 06/09/2017

Foram contabilizados mais de 235.000 detecções de ransomware para Android apenas na primeira metade de 2017, ou seja, 181% das detecções com relação ao ano inteiro de 2016, revela estudo da Trend Micro.

A recente onda de malware de bloqueio de tela e criptografia de arquivos visando dispositivos Android também ressalta a crescente predominância do ransomware móvel. Alguns destes incluem o SLocker, uma cópia do WannaCry e o uso malicioso de redes sociais legítimas, além do LeakerLocker que ameaça expor os dados pessoais da vítima. Além disso, especialmente agora que o código-fonte do SLocker foi declaradamente decompilado e divulgado no GitHub, é possível que surjam mais dessas ameaças.

Segundo a empresa de segurança, no passado, um ransomware de Android era bastante simples. Ele bloqueava a tela do dispositivo e exibia uma mensagem contendo o pedido de resgate. Sua evolução para cripto-ransomware apareceu em maio de 2014 na forma do Simple Locker (ANDROIDOS_SIMPLOCK.AXM), que era capaz de criptografar arquivos armazenados no dispositivo móvel e no seu cartão SD. Desde então, foram vistas ameaças similares - e algumas variantes, que são apenas versões repaginadas do malware original - reaparecerem em mercados paralelos de aplicativos. Outros foram ativamente impulsionados e atualizados para escapar da detecção.

Cripto-ransomware para Android e sua evolução

Desde a primeira aparição de um cripto-ransomware em maio de 2014, a Trend Micro vem monitorando e analisado o malware de criptografia de arquivos para Android: várias propriedades comuns foram descobertas.

Ícone e rótulo

A maioria usa o 'Adobe Flash Player', 'Video Player', muitos nomes de aplicativos de jogos populares como rótulo e o ícone padrão do Android ou o Adobe Flash Player para ícones. O rótulo e o ícone correspondem aos seus vetores de infecção: aplicativos de reprodução de vídeos e jogos. Deve ser lembrado ainda que o Flash não está mais disponível para Android há pelo menos cinco anos.

Nome do pacote

Os aplicativos Android consistem em pacotes, e devem incluir um pacote principal com um nome especificado.  É uma forma de distinguir um aplicativo do outro e até mesmo de outras versões de um mesmo aplicativo (isto é, quando está sendo atualizado/aperfeiçoado). A Trend Micro descobriu que os nomes de pacotes para aplicativos pré-instalados, como e-mail, calendário e navegadores, foram falsificados por vários cripto-ransomware móveis.  Um nome de pacote típico seria 'com.common.calendar'.  E como está associado a um aplicativo legítimo, ele pode persuadir o usuário a não o desinstalar.

Alvos

O cripto-ransomware tem um alcance mais global, mas também está identificando alvos.  Eles contam até mesmo interfaces personalizadas de usuário (UI), principalmente quando distribuídos em países do Oriente Médio. Com base no código decompilado e nas análises de sandboxing, a Trend Micro viu como essas ameaças estão se tornando mais específicas para cada alvo. Um exemplo é o ransomware para Android que imitava o WannaCry e preferia o pagamento via Alipay, WeChat e QQ, o que sugeria que este ransomware estava destinado a atacar usuários chineses.

Criptografia

O algoritmo tipicamente empregado é o AES devido ao seu desempenho.  Os tipos de arquivos direcionados também aumentaram ao longo do tempo.  Em maio de 2014, eram apenas 13, mas aumentou para 78 até o final desse mesmo ano.  Antes, as cifras eram programas codificados ou armazenados em shared_pref (onde as preferências do aplicativo são recuperadas), então era bastante fácil de descriptografar dados codificados.  Atualmente, a maioria das cifras pode ser personalizada e armazenada em servidores remotos.

Rotas além da criptografia de arquivos

Em meados de 2015, muitos ransomware para Android adicionaram funcionalidades maliciosas além da criptografia de arquivos para que os cibercriminosos pudessem ainda faturar mais em cima de suas vítimas. O primeiro destes era enviar um SMS e ligar para os números especificados pelo hacker. Os criminosos também mantinham os dispositivos no modo silencioso para que pudessem realizar as ações sem o conhecimento ou o consentimento da vítima.

No entanto, essas funcionalidades adicionais estão perdendo força, uma vez que dependem de permissões do usuários e interfaces de programas de aplicativos (APIs) relacionadas à chamada/inicialização, que podem ser detectadas pelo próprio sistema Android e por produtos de segurança (se houver algum instalado).  Os usuários também podem identificar essas rotinas maliciosas, principalmente se estas solicitarem permissões não relacionadas/suspeitas.

Lições Aprendidas

O ransomware está condenado a ser um grampo na plataforma móvel, já que sua base de usuário se tornou uma galinha dos ovos de ouro cada vez mais viável para os cibercriminosos. E com base na sua evolução desde a primeira colheita em 2014, o cripto-ransomware móvel adicionará outros vetores de ataque ao mix - o uso de vulnerabilidades da API, por exemplo.

Felizmente, segundo especialistas da Trend Micro, novos recursos de segurança estão sendo lançados no Android Oreo, particularmente, o Google Play Protect, que analisa aplicativos para comportamentos como criptografia maliciosa de arquivos.  Os aplicativos de download, por exemplo, agora precisarão ter permissões; os usuários devem autorizar diretamente a instalação de Pacotes de Aplicativos para Android por fonte.

Enviar por e-mail   ...   Versão para impressão:
 

LEIA TAMBÉM:

18/03/2020
Android 11 tem API de conectividade 5G

30/07/2019
Malware Agent Smith já infectou mais de 75 mil dispositivos no Brasil

10/07/2019
Malware sofisticado avança sobre usuários de bancos brasileiros

13/08/2018
Brasil é o alvo para ataques de phishing móveis na AL

16/05/2018
Ataques de ransomware crescem 116% em smartphones Android

06/09/2017
Ransomware para Android cresce 181% em seis meses

21/08/2017
Google lança sistema Android 8.0 com proteção para apps inseguros

17/04/2017
Google vai abrir Android a outros buscadores na Rússia

03/04/2017
Android supera o Windows e vira sistema operacional mais usado no mundo

15/03/2017
Google lança curso para brasileiro de certificação em Android

Destaques
Destaques

Brasil está fora dos países liberados pela Espanha para o Mobile World Congress

Programado para acontecer de 28 de junho a 01 de julho, o organizador, GSMA, fechou um acerto com as autoridades espanholas para isentar os participantes das restrições impostas às pessoas de fora da União Europeia.

Highline se propõe a comprar licença 5G e oferecer espectro como serviço para ISPs

A proposta da empresa, explicou Luis Minoru, diretor de estratégia e novos negócios, é o de oferecer toda a infraestrutura na modalidade de serviço. Já há testes em andamento, não revelados, para o funcionamento da modalidade que inclui a operação de telefonia móvel.

Veja mais vídeos
Veja mais vídeos da CDTV
Veja mais artigos
Veja mais artigos

Com rede sujeita a apagões, qual impacto do 5G na energia no Brasil?

Por Pedro Al Shara*

Segundo pesquisa da Vertiv, fornecedora de equipamentos e serviços para infraestrutura crítica, um aumento da ordem de 150% a 170% no consumo energético é projetado no setor de Telecom até 2026. Com toda a inovação que o 5G representa, mais dispositivos poderão acessar a internet móvel ao mesmo tempo, utilizando o mesmo sinal.


Copyright © 2005-2020 Convergência Digital ... Todos os direitos reservados ... É proibida a reprodução total ou parcial do conteúdo deste site