Pesquisadores de segurança da ESET descobriram o primeiro ransomware que utiliza os serviços de acessibilidade do Android. Além de criptografar as informações, essa ameaça é capaz de bloquear o dispositivo. [read more=”Continuar lendo…” less=”Menos”]

Este ransomware é chamado de DoubleLocker e é baseado no código de um trojan bancário, que usa os serviços de acessibilidade do sistema operacional móvel do Google para fins maliciosos. Embora não tenha funções relacionadas à coleta de credenciais bancárias e ao esvaziamento de contas, essa ameaça possui duas ferramentas que permitem extorquir as vítimas em busca de dinheiro. Pode alterar o PIN do dispositivo e, assim, impedir que as vítimas o acessem, e também criptografa as informações encontradas no dispositivo. Uma combinação que até agora não foi vista no Android.

“Por ser originalmente criado como uma ameaça bancária, o DoubleLocker pode tornar-se o que podemos chamar de ransom-bankers. É um malware que funciona em duas etapas: primeiro, ele tenta esvaziar sua conta bancária ou PayPal e, em seguida, bloqueia seu dispositivo e suas informações para solicitar o pagamento do resgate, a primeira vez que vimos uma versão de teste de um ransom-banker desta natureza foi em maio de 2017 “, destaca Lukáš Štefanko, pesquisador de malware da ESET que descobriu o DoubleLocker.

O DoubleLocker se espalha exatamente igual ao trojan no qual se baseia. Geralmente, é distribuído por meio de uma versão falsa do Adobe Flash Player, carregada em sites comprometidos. Uma vez executado, o aplicativo solicita a ativação do serviço de acessibilidade de malware, chamado “Serviço Google Play” para enganar os usuários, que podem acreditar que é um serviço legítimo do Google. Depois que o malware obtém as permissões de acessibilidade, ele as utiliza para ativar os direitos de administrador do dispositivo e se estabelece como o aplicativo iniciador padrão, em ambos os casos sem o consentimento do usuário.

Veja o vídeo sobre como o DoubleLocker funciona:

“Estabelecer-se como um iniciador padrão é um truque que melhora a persistência do malware. Toda vez que o usuário clica no botão Iniciar, o ransomware é ativado e o dispositivo está bloqueado novamente. Graças ao uso do serviço de acessibilidade, o usuário não sabe que ele está executando o malware pressionando Iniciar”, explica Štefanko.

Uma vez executado no dispositivo, o DoubleLocker dá à vítima duas razões para pagar o resgate, e daí vem o nome dele (a ESET nunca recomenda fazer o pagamento):

– Primeiro, muda o PIN do equipamento, para que a vítima não possa usá-lo. O novo código PIN é definido com base em um valor aleatório, que não está armazenado no dispositivo e nem foi enviado para nenhum local de armazenamento, por isso é impossível para o usuário ou um especialista de segurança recuperá-lo. Após o pagamento, o atacante pode redefinir o PIN remotamente e desbloquear o dispositivo.

– Em segundo lugar, o DoubleLocker criptografa todos os arquivos do diretório de armazenamento principal.

O valor do resgate solicitado é de 0,0130 BTC (aproximadamente US$ 54) e a mensagem indica que deve ser pago em 24 horas. Caso não efetue o pagamento, os dados permanecerão criptografados, mas não serão apagados, de modo que ter um backup dos arquivos pode ser útil.

No pedido de resgate, o usuário é advertido a não tentar remover ou bloquear o DoubleLocker: “Sem [o software], você nunca poderá recuperar seus arquivos originais”. Os cibercriminosos até recomendam a desativação do software anti-vírus para evitar que o usuário elimine a ameaça. “Este conselho é irrelevante, pois qualquer pessoa com uma solução de segurança de qualidade instalada em seu dispositivo permanecerá segura com relação ao DoubleLocker”, afirma Štefanko.

Para aqueles que não têm uma solução de segurança e precisam tirar o ransomware do dispositivo, os pesquisadores da ESET recomendam:

Se o dispositivo não estiver roteado e não tiver uma solução de gerenciamento de dispositivo móvel capaz de redefinir o PIN, a única maneira de limpar o bloqueio da tela é com a restauração das configurações de fábrica. No entanto, se o dispositivo estiver roteado, o usuário pode se conectar a ele pelo Android Debug Bridge (ADB) e excluir o arquivo no qual o PIN foi armazenado.

Isso removerá o PIN ou senha de bloqueio da tela e o usuário poderá acessar o dispositivo. Em seguida, operando no modo de segurança, é possível desativar os direitos de administrador do malware e desinstalá-lo. Em alguns casos, o dispositivo precisa ser reiniciado.

“O DoubleLocker é mais uma razão para os usuários de dispositivos móveis instalarem uma solução de segurança de qualidade e realizarem o backup de suas informações regularmente”, conclui Štefanko.

[/read]

INSCREVA-SE NO CANAL DO YOUTUBE DO VIDA MODERNA
ESET revela novo ransomware no Android