Brasil, 24 de Novembro de 2017
A- A A+

TOKIO MARINE SEGURADORA

ESET revela novo ransomware no Android

  • Escrito por  Natália Diogo
  • Adicionar novo comentario
  • Publicado em Info & Ti
  • Imprimir
  • Compartilhar::

ESET revela novo ransomware no Android

A empresa é a primeira a documentar o DoubleLocker, um ransomware no Android que utiliza os serviços de acessibilidade do sistema operacional para criptografar informações e bloquear os dispositivos

Pesquisadores de segurança da ESET, líder em detecção proativa de ameaças, descobriram o primeiro ransomware que utiliza os serviços de acessibilidade do Android. Além de criptografar as informações, essa ameaça é capaz de bloquear o dispositivo.

Este ransomware é chamado de DoubleLocker e é baseado no código de um trojan bancário, que usa os serviços de acessibilidade do sistema operacional móvel do Google para fins maliciosos. Embora não tenha funções relacionadas à coleta de credenciais bancárias e ao esvaziamento de contas, essa ameaça possui duas ferramentas que permitem extorquir as vítimas em busca de dinheiro. Pode alterar o PIN do dispositivo e, assim, impedir que as vítimas o acessem, e também criptografa as informações encontradas no dispositivo. Uma combinação que até agora não foi vista no Android.

"Por ser originalmente criado como uma ameaça bancária, o DoubleLocker pode tornar-se o que podemos chamar de ransom-bankers. É um malware que funciona em duas etapas: primeiro, ele tenta esvaziar sua conta bancária ou PayPal e, em seguida, bloqueia seu dispositivo e suas informações para solicitar o pagamento do resgate, a primeira vez que vimos uma versão de teste de um ransom-banker desta natureza foi em maio de 2017 ", destaca Lukáš Štefanko, pesquisador de malware da ESET que descobriu o DoubleLocker.

O DoubleLocker se espalha exatamente igual ao trojan no qual se baseia. Geralmente, é distribuído por meio de uma versão falsa do Adobe Flash Player, carregada em sites comprometidos. Uma vez executado, o aplicativo solicita a ativação do serviço de acessibilidade de malware, chamado "Serviço Google Play" para enganar os usuários, que podem acreditar que é um serviço legítimo do Google. Depois que o malware obtém as permissões de acessibilidade, ele as utiliza para ativar os direitos de administrador do dispositivo e se estabelece como o aplicativo iniciador padrão, em ambos os casos sem o consentimento do usuário.

A ESET mostra um vídeo sobre como o DoubleLocker funciona:

https://youtu.be/odSWGPLEqt0

"Estabelecer-se como um iniciador padrão é um truque que melhora a persistência do malware. Toda vez que o usuário clica no botão Iniciar, o ransomware é ativado e o dispositivo está bloqueado novamente. Graças ao uso do serviço de acessibilidade, o usuário não sabe que ele está executando o malware pressionando Iniciar", explica Štefanko.

Uma vez executado no dispositivo, o DoubleLocker dá à vítima duas razões para pagar o resgate, e daí vem o nome dele (a ESET nunca recomenda fazer o pagamento):

Primeiro, muda o PIN do equipamento, para que a vítima não possa usá-lo. O novo código PIN é definido com base em um valor aleatório, que não está armazenado no dispositivo e nem foi enviado para nenhum local de armazenamento, por isso é impossível para o usuário ou um especialista de segurança recuperá-lo. Após o pagamento, o atacante pode redefinir o PIN remotamente e desbloquear o dispositivo.

Em segundo lugar, o DoubleLocker criptografa todos os arquivos do diretório de armazenamento principal.

O valor do resgate solicitado é de 0,0130 BTC (aproximadamente US$ 54) e a mensagem indica que deve ser pago em 24 horas. Caso não efetue o pagamento, os dados permanecerão criptografados, mas não serão apagados, de modo que ter um backup dos arquivos pode ser útil.

No pedido de resgate, o usuário é advertido a não tentar remover ou bloquear o DoubleLocker: "Sem [o software], você nunca poderá recuperar seus arquivos originais". Os cibercriminosos até recomendam a desativação do software anti-vírus para evitar que o usuário elimine a ameaça. "Este conselho é irrelevante, pois qualquer pessoa com uma solução de segurança de qualidade instalada em seu dispositivo permanecerá segura com relação ao DoubleLocker", afirma Štefanko.

Para aqueles que não têm uma solução de segurança e precisam tirar o ransomware do dispositivo, os pesquisadores da ESET recomendam:

Se o dispositivo não estiver roteado e não tiver uma solução de gerenciamento de dispositivo móvel capaz de redefinir o PIN, a única maneira de limpar o bloqueio da tela é com a restauração das configurações de fábrica. No entanto, se o dispositivo estiver roteado, o usuário pode se conectar a ele pelo Android Debug Bridge (ADB) e excluir o arquivo no qual o PIN foi armazenado.

Isso removerá o PIN ou senha de bloqueio da tela e o usuário poderá acessar o dispositivo. Em seguida, operando no modo de segurança, é possível desativar os direitos de administrador do malware e desinstalá-lo. Em alguns casos, o dispositivo precisa ser reiniciado.

"O DoubleLocker é mais uma razão para os usuários de dispositivos móveis instalarem uma solução de segurança de qualidade e realizarem o backup de suas informações regularmente", conclui Štefanko.

Para obter mais informações, acesse o portal de notícias da ESET WeLiveSecurity em: https://www.welivesecurity.com/br/2017/10/13/doublelocker-ransomware-no-android/ ‎

 

Compartilhar::

Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...: https://www.facebook.com/groups/portalnacional/

Separador
IIMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...
 
www.segs.com.br
Separador
No Segs, sempre todos tem seu direito de resposta, basta nos contatar que voce sera atendido. - Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta totalmente automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
Separador

Adicionar comentário

Aja com responsabilidade, aos SEUS COMENTÁRIOS em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Esta ferramenta é automatizada...Sucesso!


Código de segurança
Atualizar

voltar ao topo

Sobre nós::

Siga-nos::

Notícias::

Mais Itens::