Symantec descobre novos ransomwares Android criados diretamente em dispositivos móveis

0

A Symantec detectou ataques de diversas variantes de uma família de ransomware conhecida como Android.Lockdroid.E, que foram feitas em dispositivos Android usando o ambiente de desenvolvimento integrado Android (AIDE). Apesar de o uso dessas novas técnicas estar limitado a um pequeno grupo, a capacidade de criar malware em dispositivos móveis pode abrir caminhos para o surgimento de novos ataques do mesmo tipo no futuro.

mobil-seg

Normalmente, as ferramentas necessárias para criar aplicativos Android estão instaladas num computador, que é o meio mais comum quando se trata de desenvolvimento de aplicativos. Nesse caso específico, os atacantes têm usado ambientes integrados de desenvolvimento (IDEs, do inglês) para projetar, construir, implementar, modificar e assinar variantes de Android.Lockdroid. E diretamente em dispositivos móveis. Vale ressaltar que o AIDE não é malicioso. Trata-se de uma plataforma de aprendizagem legítima, que é usada para desenvolver aplicações móveis diretamente em um dispositivo Android.

Com esse ambiente de desenvolvimento integrado Android (AIDE), os hackers podem tirar vantagem da flexibilidade, capacidade de modificar o código rapidamente e da mobilidade da plataforma para criar variantes de ransomware. Mesmo um desenvolvedor inexperiente, por exemplo, pode modificar apenas algumas linhas do código diretamente no manipulador do dispositivo, como a senha de e-mail, e criar uma nova variante a partir do código existente. Por outro lado, um autor de malware experiente pode usar o software para criar um ransomware, sem a necessidade de um computador portátil. A função típica do ransomware Lockdroid.E é bloquear a tela da vítima. Uma vez instalado no dispositivo móvel, o malware cria uma janela pela qual avisa aos usuários que, caso queiram desbloquear os aparelhos, eles devem entrar em contato com o atacante por meio do serviço de mensagens instantâneas. Em seguida, normalmente é exigido o pagamento de um resgate para que os dispositivos sejam desbloqueados.

Neste caso, a senha necessária para desbloquear o aparelho está codificada dentro de uma variável do código do malware, enquanto a identificação do hacker está embutida em outra variável.

Locky ransomware

Outra nova variante do ransomware, também descoberta recentemente pela Symantec, é conhecida como Locky (Trojan.Cryptolocker.AF). Esse malware apareceu pela primeira vez em meados de fevereiro e tem se espalhado rapidamente por meio de campanhas de spam em massa e sites comprometidos. Em uma ação agressiva, os hackers enviaram milhões de e-mails com spam já no primeiro dia do surgimento desse ransomware. É a principal via de infecção e normalmente os e-mails vêm disfarçados de faturas. Documentos de Word anexados levam um macro malicioso, detectado pela Symantec como W97M.Downloader. Se o usuário abrir esse macro, ele instalará o Locky no computador da vítima.

A campanha de spam do Locky envolveu uma operação em escala maciça. O sistema anti-spam da Symantec bloqueou mais de 5 milhões de e-mails associados a esse ransomware em apenas um dia. O Locky criptografa arquivos nos computadores das vítimas e instala a extensão de arquivo .locky. O valor para resgate dos dados varia entre 0,5 a 1 bitcoin (cerca de US$ 210 a US$ 420).

Visa – iscas para o TeslaCrypt ransomware

O mais recente ataque observado pela Symantec diz respeito a uma suposta campanha de recompensas e benefícios dos cartões de crédito Visa. Na verdade, trata-se de um spam que pretende contaminar os computadores dos destinatários com um ransomware.

O falso e-mail, supostamente enviado pela Visa Total Rewards, traz informações sobre os benefícios do uso de cartões de crédito Visa. No anexo, um arquivo whitepaper traria mais detalhes sobre a campanha, no entanto, ele vem carregado com um arquivo JavaScript disfarçado, detectado como JS.Downloader.

Se o destinatário abrir o arquivo anexo, ele executará uma variante do ransomware TeslaCrypt no computador (detectado como Trojan.Cryptolocker.N), a partir do URL especificado. Poucos minutos depois, aparece uma mensagem informando que todos os arquivos do usuário foram criptografados e, para recuperar o acesso a eles, é preciso pagar um resgate em Bitcoins.

É muito comum o uso de spams relacionados com cartões de crédito em fraudes, principalmente sob a forma de ataques de phishing. A novidade é a utilização desse meio para espalhar um ransomware.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.