Ameaças direcionadas a dispositivos móveis é uma evolução para o mercado de cibercrime. Descubra quais são esses novos malwares e o que é preciso para manter o aparelho protegido.
Os criminosos têm evoluído suas formas de ataque e atingido ainda mais dispositivos e com grande facilidade. Os dispositivos, que antes não eram tão visados pelos hackers, agora estão no centro das atenções. Uma forma utilizada por eles é o ataque remoto, como já tratamos aqui no Blog.
A atividade de ransomwares para mobiles disparou no primeiro trimestre de 2017, com 218.625 pacotes de instalação do tipo Trojan-Ransomware, 3,5 vezes mais que no trimestre anterior. Esse cenário ainda gera muito medo por parte dos usuários devido ao fato de que a maioria deles desconhecem as práticas de segurança direcionadas a dispositivos móveis.
Os ataques a equipamentos móveis podem ser algo muito rentável, pois, hoje em dia, praticamente todas as informações estão armazenadas em aparelhos pessoais e eles não possuem soluções de proteção.
Uma das formas utilizada pelos criminosos é o ataque em cadeia, em que vários componentes ou elos, de forma individual, trabalham em conjunto para atingir um objetivo em comum. Por meio dessa estratégia, eles conseguiriam atingir um número de equipamentos muito maior se comparado com uma invasão de malwares simples.
O ataque em cadeia consegue, mais facilmente, evitar as técnicas de detecção de ameaças mais comuns. Ele inclui diversos elementos, como um dropper, que instala outros elos da cadeia; pacotes de exploint, que executam códigos com privilégios de root, que permitem o acesso a recursos importantes; a carga maliciosa; um backdoor, para poder controlar remotamente o aparelho; entre outros.
Para evitar esse tipo de perigo, é necessário contar com soluções que sejam capazes de prevenir os comportamentos diferentes desses ataques. Além disso, é importante ser capaz de controlar as autorizações de privilégios, impedindo a execução de comandos sem autorização e o download de arquivos suspeitos.
Outro ransomware que está surgindo e chamando a atenção dos especialistas é o da família Locker, que é específico para dispositivos móveis. Ele está se disseminando a partir de fóruns de jogos chineses, enganando suas vítimas a partir do download de um suposto plugin necessário para o jogo rodar, quando na verdade o que é baixado é o ransomware.
O primeiro sinal para o usuário perceber a infecção é que o ícone do jogo é escondido e o papel de parede do smartphone é alterado. Essa categoria de malware é uma das mais antigas de bloqueio de tela e criptografia de arquivos e, sua nova variante consegue copiar a interface gráfica do ransomware WannaCry, famoso por ser um dos primeiros a criptografar arquivos de Androids.
Como ele criptografa os dados?
O ransomware gera um número aleatório e armazena-o em SharedPreferences, que é onde os dados permanentes do aplicativo ficam salvos. Assim, ele localiza o diretório de armazenamento externo para encontrar arquivos que atendam aos requisitos específicos, como ser maior que 10KB e menor que 50MB e o nome do arquivo deve ter “.” por exemplo.
Além disso, esse ransomware evita criptografar arquivos do sistema, focando naqueles baixados e em imagens, assim, criptografa apenas os que tenham sufixos, como arquivos de texto, fotos e vídeos.
Quando o malware encontra os arquivos que atendam aos requisitos necessários, o tópico usa o ExecutorService para executar uma nova tarefa, a qual irá gerar uma cifra com base em um número aleatório gerado. Em seguida, o ransomware alimenta o SecretKeySpec para criar uma senha final e usá-la para criptografar arquivos.
Após o dado ser criptografado, um sufixo é adicionado a seu nome, contendo um número QQ (serviço chinês de pagamento em celulares) que irá gerar a cifra. Assim, são apresentadas aos usuários formas para pagar o resgate de seus dados a partir de um código QR, que pede que as vítimas paguem pela QQ.
Quais as soluções para se proteger?
Para reduzir as chances de infecção, é recomendável que os usuários sigam algumas táticas de segurança, como:
- Realizar backups periodicamente.
- Apostar em soluções de segurança confiáveis para mobiles e ativar seus principais recursos, como a inspeção do sistema.
- Manter software e sistemas operacionais atualizados.
- Não clicar em links e anexos em e-mails de desconhecidos.
- Apenas instalar aplicativos de lojas oficiais.
- Ficar atento às permissões de acesso solicitadas por apps, principalmente aquelas relacionadas a modificação do armazenamento externo.
Quando o usuário já foi infectado pelo ransomware, o conselho da maioria dos profissionais de segurança continua sendo não pagar o resgate. É necessário desligar o aparelho imediatamente e fazer a recuperação completa do sistema, apagando assim, os rastros dessa ameaça.
Escreva seu comentário