O Ransomware começa a fazer ataques em dispositivos android

O Google Play, o mercado oficial de aplicativos para Android, foi pego hospedando um aplicativo ransomware que infectou um pequeno número aparelhos, disseram pesquisadores de segurança na terça-feira.

images.jpg

O ransomware foi chamado de Charger e foi escondido dentro de um aplicativo chamado EnergyRescue, de acordo com um post publicado pela empresa de segurança Check Point Software. Uma vez instalado, o carregador roubou os contatos SMS e levou os usuários desavisados a conceder-lhe todos os direitos de administrador. Se os usuários clicarem em OK, o aplicativo mal-intencionado bloqueou o dispositivo e exibiu a seguinte mensagem:
Você precisa pagar por nós, caso contrário, vamos vender parte de suas informações pessoais no mercado negro a cada 30 minutos. Damos garantia de 100% de que todos os arquivos serão restaurados depois que recebemos o pagamento. NÓS DESLOCAMOS O DISPOSITIVO MÓVEL E APAGAMOS TODOS OS SEUS DADOS DO NOSSO SERVIDOR! DESLIGAR O SEU TELEFONE É SIGNIFICATIVO, TODOS OS SEUS DADOS ESTÃO JÁ ARMAZENADOS NOS NOSSOS SERVIDORES! Ainda podemos vendê-lo para SPAM, FAKE, BANCO CRIME etc … Nós coletamos e baixamos todos os seus dados pessoais. Todas as informações sobre suas redes sociais, contas bancárias, cartões de crédito. Coletamos todos os dados sobre seus amigos e familiares.
O aplicativo buscava 0.2 Bitcoin, atualmente vale cerca de US $ 180. Em um e-mail, pesquisadores da Check Point disseram que o app estava disponível no Google Play por quatro dias e teve apenas alguns downloads. “Acreditamos que os atacantes só queriam testar as águas e não espalhá-lo ainda”, disseram os pesquisadores a Ars. A infecção foi detectada pelo software de malware móvel da Check Point, que a empresa vende para as empresas. Os funcionários do Google desde então removeram o aplicativo e agradeceram ao Check Point por aumentar a conscientização sobre o problema.
Uma análise mostrou que o carregador verificou as configurações locais de um dispositivo infectado e não executaria a carga útil maliciosa do aplicativo se o dispositivo estava localizado na Ucrânia, Rússia ou Bielorrússia. O comportamento era provavelmente uma tentativa de impedir que os desenvolvedores enfrentassem ações legais nesses países. No post do blog, pesquisadores do Check Point adicionaram:
A maioria dos malwares encontrados no Google Play contém apenas um conta-gotas que posteriormente faz o download dos componentes maliciosos reais para o dispositivo. Carregador, no entanto, usa uma abordagem pesada embalagem que [torna] mais difícil para o malware para ficar escondido, por isso deve compensar com outros meios. Os desenvolvedores do Charger deram-lhe tudo o que tinham para aumentar suas capacidades de evasão e assim ele poderia ficar escondido no Google Play pelo maior tempo possível.
O malware usa várias técnicas avançadas para ocultar suas intenções reais e torna mais difícil de detectar.Ele codifica strings em matrizes binárias, tornando difícil inspecioná-las.
Ele carrega o código de recursos criptografados dinamicamente, que a maioria dos motores de detecção não pode penetrar e inspecionar. O código dinamicamente carregado também é inundado com comandos sem sentido que mascaram os comandos reais que passam.
Ele verifica se ele está sendo executado em um emulador antes de iniciar sua atividade maliciosa. O malware do PC introduziu primeiramente esta técnica que está transformando-se uma tendência no malware móvel que tem sido adotado por diversas famílias do malware que incluem Dendroid.
Em 2012, o Google revelou um scanner baseado em nuvem, chamado de bouncer, que foi anunciado como uma forma de a empresa detectar aplicativos maliciosos antes de serem disponibilizados no Play. Cinco anos mais tarde, a descoberta de aplicativos maliciosos como o carregador são uma ocorrência regular. O Google faz pouca referência à ferramenta nos dias de hoje.

Share your thoughts

share what,s happening in your mind about this post