Ransomware para Android cresce 181% em seis meses
Foram contabilizados mais de 235.000 detecções de ransomware para Android apenas na primeira metade de 2017, ou seja, 181% das detecções com relação ao ano inteiro de 2016, revela estudo da Trend Micro.
A recente onda de malware de bloqueio de tela e criptografia de arquivos visando dispositivos Android também ressalta a crescente predominância do ransomware móvel. Alguns destes incluem o SLocker, uma cópia do WannaCry e o uso malicioso de redes sociais legítimas, além do LeakerLocker que ameaça expor os dados pessoais da vítima. Além disso, especialmente agora que o código-fonte do SLocker foi declaradamente decompilado e divulgado no GitHub, é possível que surjam mais dessas ameaças.
Segundo a empresa de segurança, no passado, um ransomware de Android era bastante simples. Ele bloqueava a tela do dispositivo e exibia uma mensagem contendo o pedido de resgate. Sua evolução para cripto-ransomware apareceu em maio de 2014 na forma do Simple Locker (ANDROIDOS_SIMPLOCK.AXM), que era capaz de criptografar arquivos armazenados no dispositivo móvel e no seu cartão SD. Desde então, foram vistas ameaças similares – e algumas variantes, que são apenas versões repaginadas do malware original – reaparecerem em mercados paralelos de aplicativos. Outros foram ativamente impulsionados e atualizados para escapar da detecção.
Cripto-ransomware para Android e sua evolução
Desde a primeira aparição de um cripto-ransomware em maio de 2014, a Trend Micro vem monitorando e analisado o malware de criptografia de arquivos para Android: várias propriedades comuns foram descobertas.
Ícone e rótulo
A maioria usa o ‘Adobe Flash Player’, ‘Video Player’, muitos nomes de aplicativos de jogos populares como rótulo e o ícone padrão do Android ou o Adobe Flash Player para ícones. O rótulo e o ícone correspondem aos seus vetores de infecção: aplicativos de reprodução de vídeos e jogos. Deve ser lembrado ainda que o Flash não está mais disponível para Android há pelo menos cinco anos.
Nome do pacote
Os aplicativos Android consistem em pacotes, e devem incluir um pacote principal com um nome especificado. É uma forma de distinguir um aplicativo do outro e até mesmo de outras versões de um mesmo aplicativo (isto é, quando está sendo atualizado/aperfeiçoado). A Trend Micro descobriu que os nomes de pacotes para aplicativos pré-instalados, como e-mail, calendário e navegadores, foram falsificados por vários cripto-ransomware móveis. Um nome de pacote típico seria ‘com.common.calendar’. E como está associado a um aplicativo legítimo, ele pode persuadir o usuário a não o desinstalar.
Alvos
O cripto-ransomware tem um alcance mais global, mas também está identificando alvos. Eles contam até mesmo interfaces personalizadas de usuário (UI), principalmente quando distribuídos em países do Oriente Médio. Com base no código decompilado e nas análises de sandboxing, a Trend Micro viu como essas ameaças estão se tornando mais específicas para cada alvo. Um exemplo é o ransomware para Android que imitava o WannaCry e preferia o pagamento via Alipay, WeChat e QQ, o que sugeria que este ransomware estava destinado a atacar usuários chineses.
Criptografia
O algoritmo tipicamente empregado é o AES devido ao seu desempenho. Os tipos de arquivos direcionados também aumentaram ao longo do tempo. Em maio de 2014, eram apenas 13, mas aumentou para 78 até o final desse mesmo ano. Antes, as cifras eram programas codificados ou armazenados em shared_pref (onde as preferências do aplicativo são recuperadas), então era bastante fácil de descriptografar dados codificados. Atualmente, a maioria das cifras pode ser personalizada e armazenada em servidores remotos.
Rotas além da criptografia de arquivos
Em meados de 2015, muitos ransomware para Android adicionaram funcionalidades maliciosas além da criptografia de arquivos para que os cibercriminosos pudessem ainda faturar mais em cima de suas vítimas. O primeiro destes era enviar um SMS e ligar para os números especificados pelo hacker. Os criminosos também mantinham os dispositivos no modo silencioso para que pudessem realizar as ações sem o conhecimento ou o consentimento da vítima.
No entanto, essas funcionalidades adicionais estão perdendo força, uma vez que dependem de permissões do usuários e interfaces de programas de aplicativos (APIs) relacionadas à chamada/inicialização, que podem ser detectadas pelo próprio sistema Android e por produtos de segurança (se houver algum instalado). Os usuários também podem identificar essas rotinas maliciosas, principalmente se estas solicitarem permissões não relacionadas/suspeitas.
Lições Aprendidas
O ransomware está condenado a ser um grampo na plataforma móvel, já que sua base de usuário se tornou uma galinha dos ovos de ouro cada vez mais viável para os cibercriminosos. E com base na sua evolução desde a primeira colheita em 2014, o cripto-ransomware móvel adicionará outros vetores de ataque ao mix – o uso de vulnerabilidades da API, por exemplo.
Felizmente, segundo especialistas da Trend Micro, novos recursos de segurança estão sendo lançados no Android Oreo, particularmente, o Google Play Protect, que analisa aplicativos para comportamentos como criptografia maliciosa de arquivos. Os aplicativos de download, por exemplo, agora precisarão ter permissões; os usuários devem autorizar diretamente a instalação de Pacotes de Aplicativos para Android por fonte.