Pplware

Há uma nova ameaça de ransomware para os dispositivos móveis Android

O ransomware para Android está em declínio desde 2017, no entanto, os investigadores de segurança descobriram uma nova família destas ameaças, agora apelidada de Android/ Filecoder.C. O método utiliza listas de contactos das vítimas e tenta espalhar-se pelos dispositivos móveis via SMS com links maliciosos.

Em seguida ficará a conhecer os contornos deste novo método utilizado por mentes mal intencionadas.


O novo ransomware foi detetato em distribuição através de tópicos relacionados com pornografia no Reddit. Em seguida, o perfil malicioso usado na campanha de distribuição de ransomware foi avançado pela ESET, mas ainda está ativo. Isto é, ainda se encontram em circulação ameaças deste género.

Há uma nova ameaça de ransomware para Android

Além disso e por um curto período de tempo, a campanha também foi veiculada no portal XDA developers, um fórum para desenvolvedores de Android. Entretanto, com base baseado num relatório da agência de segurança, os operadores removeram as publicações maliciosas.

“A campanha agora descoberta é pequena e bastante amadora. No entanto, se a distribuição avançar, este novo ransomware pode tornar-se numa séria ameaça”, comenta Lukáš Štefanko, investigador da agência que liderou a investigação.

O novo ransomware é notável pelo seu mecanismo de propagação. Isto é, antes de começar a encriptar ficheiros, envia um lote de mensagens de texto para todos os endereços da lista de contactos da vítima, atraindo os destinatários para clicarem num link malicioso. Este, por sua vez, leva ao ficheiro de instalação do ransomware.

“Em teoria, isso pode levar a uma série de infeções – mais ainda, pois o malware tem 42 versões em diferentes idiomas da mensagem maliciosa. Felizmente, mesmo os utilizadores não suspeitos devem perceber que as mensagens estão mal traduzidas e algumas versões parecem não fazer sentido”, comenta Lukáš Štefanko.

A propagação pelos dispositivos móveis

Para além do seu mecanismo de propagação não tradicional, o Android/Filecoder.C tem algumas anomalias na encriptação. Exclui grandes ficheiros (acima de 50 MB) e imagens pequenas (menos de 150 kB). De igual modo, a sua lista de “tipos de ficheiros para encriptar” contém muitas entradas não relacionadas com Android, embora faltem também algumas das extensões típicas do Android.

“Aparentemente, a lista foi copiada do famoso ransomware WannaCry”, observa o investigador.

Existem também outros elementos intrigantes. Outros métodos para a abordagem não ortodoxa que os desenvolvedores deste malware usaram. Ao contrário do ransomware Android típico, o Android/Filecoder.C não impede que o utilizador aceda ao dispositivo bloqueando o ecrã.

As peculiaridades do Android/Filecoder.C

Para além disso, o resgate não é definido como um valor codificado. Em vez disso, o montante que os invasores solicitam em troca da promessa de desencriptar os ficheiros é criada dinamicamente usando o UserID atribuído pelo ransomware à vítima específica. Por conseguinte, o processo resulta num valor de resgate exclusivo, no intervalo de 0,01-0,02 BTC.

 

 

O truque com um resgate único é novo: não o vimos antes em qualquer ransomware do ecossistema Android”, diz Štefanko. “Provavelmente é destinado a atribuir pagamentos às vítimas. Esta tarefa é tipicamente resolvida com a criação de uma carteira única de Bitcoin para cada dispositivo encriptado. Nesta campanha, só vimos uma carteira de Bitcoin a ser usada”.

Em síntese, a descoberta mostra que o ransomware ainda representa uma ameaça para os dispositivos móveis Android. Portanto, para se manter seguro, os utilizadores devem seguir os princípios básicos da segurança:

Leia mais…

 

Exit mobile version