Attenzione, questo ransomware sta cercando di colpire i tuoi Smart TV

I criminali informatici estorcono denaro ai proprietari di Smart TV Android dopo aver crittografato i loro TV con ransomware

Sembra che qualunque cosa facciano le aziende di sicurezza per raggiungerli, i criminali informatici riescano sempre a essere un passo avanti. In mezzo alle minacce ransomware che hanno fatto notizia nelle ultime settimane, è emerso un nuovo tipo di minaccia.

Quando si pensava che i criminali informatici fossero interessati solo a hackerare siti web, rubare password, ecc., sembra che si siano spostati su un nuovo campo di interesse, che è l’Internet delle Cose (IoT). In altre parole, se possiedi uno Smartwatch, uno Smart TV, un frigorifero intelligente o qualsiasi dispositivo intelligente connesso a Internet, potresti voler fare attenzione.

I ricercatori di Trend Micro hanno scoperto un ransomware per lo schermo di blocco mobile Android, noto come ‘FLocker’, che è in grado di bloccare sia gli smartphone Android che gli Smart TV. Sì, hai sentito bene!

Echo Duan, un ricercatore di Trend Micro, ha scritto in un post sul blog che da quando è uscita la versione di FLocker (rilevata come ANDROIDOS_FLOCKER.A e abbreviata in “Frantic Locker”) nel maggio 2015, l’azienda ha rintracciato più di 7.000 varianti del ransomware malevolo. Il ransomware FLocker inizialmente mirava agli smartphone Android, con i suoi sviluppatori che aggiornavano continuamente il ransomware e aggiungevano supporto per i nuovi cambiamenti del sistema Android.

“Questo è il primo caso importante di ransomware a infettare i TV che abbiamo trovato,” ha detto Christopher Budd, responsabile della comunicazione globale sulle minacce, a SCMagazine.com in un’email.

Secondo il rapporto, il suo autore ha continuato a riscrivere il malware per prevenire la rilevazione e migliorare la sua routine. “Negli ultimi mesi, abbiamo visto picchi e cali nel numero di iterazioni rilasciate. L’ultimo picco è avvenuto a metà aprile con oltre 1.200 varianti,” ha detto l’azienda.

Questo FLocker opera come un Trojan della polizia e cerca di spaventare la potenziale vittima a pagare affermando di essere la Cyber Police degli Stati Uniti o un’altra agenzia di enforcement. Una volta che il malware è scaricato e il TV bloccato, l’hacker accusa le potenziali vittime di crimini che non hanno commesso e richiede $200 in carte regalo iTunes per sbloccare lo Smart TV o il dispositivo mobile.

Ironia della sorte, la stessa comodità che i proprietari ottengono utilizzando più dispositivi che funzionano su una piattaforma rende la vita più facile per gli hacker. “Utilizzare più dispositivi che funzionano su una piattaforma rende la vita più facile per molte persone. Tuttavia, se un malware colpisce uno di questi dispositivi, il suddetto malware potrebbe eventualmente colpire anche gli altri,” ha scritto Duan.

“Per quanto riguarda il modo in cui viene consegnato, viene fornito attraverso vettori di infezione standard: nulla di nuovo o speciale. I TV in questo caso sono danni collaterali accidentali del ransomware e non specificamente mirati. Semplicemente si trovano a eseguire una versione attaccabile di Android,” ha detto Budd.

C’è poca differenza tra FLocker che attacca i dispositivi mobili e la versione che colpisce gli Smart TV.

“Per evitare analisi statiche, FLocker nasconde il suo codice in file di dati grezzi all’interno della cartella ‘assets’. Il file che crea si chiama ‘form.html’ e sembra un file normale. Facendo così, il codice di ‘classes.dex’ diventa piuttosto semplice e non si può trovare alcun comportamento malevolo lì. Così il malware ha la possibilità di sfuggire all’analisi del codice statico. Quando il malware viene eseguito, decrittografa ‘form.html’ ed esegue il codice malevolo,” ha scritto.

Trend Micro afferma che il malware è configurato per disattivarsi in alcune regioni, tra cui Russia, Bulgaria, Ungheria, Ucraina, Georgia, Kazakistan, Azerbaigian, Armenia e Bielorussia.

Tuttavia, se FLocker rileva dispositivi al di fuori di questi paesi, il malware attenderà 30 minuti. Dopo il breve periodo di attesa, avvia il servizio in background che richiede immediatamente i privilegi di amministratore del dispositivo. Se l’utente nega la richiesta, congela lo schermo fingendo un aggiornamento di sistema.

FLocker funziona in background e si connette a un comando e controllo (C&C). Il C&C quindi consegna un nuovo payload misspelled.apk e il file HTML “riscatto” con un’interfaccia JavaScript (JS) abilitata. Questa pagina HTML ha la capacità di avviare l’installazione dell’APK, scattare foto dell’utente colpito utilizzando l’interfaccia JS e visualizzare le foto scattate nella pagina di riscatto.

La pagina web del riscatto si adatta allo schermo, indipendentemente dal fatto che abbia infettato un dispositivo mobile o uno smart TV.

Anche se la nuova variante di FLocker non cripta i file sul dispositivo infetto, ha la capacità di rubare dati dal dispositivo, inclusi contatti, numero di telefono, informazioni sul dispositivo e dati sulla posizione.

Sebbene il rapporto di Trend Micro non sia chiaro su come FLocker infetti gli smart TV, menziona che tipicamente l’infezione da ransomware arriva tramite SMS o link malevoli.

Pertanto, dovresti essere cauto mentre navighi su Internet e ricevi messaggi di testo o email da fonti sconosciute.

Per quelle persone che non risiedono nell’Europa orientale, Duan ha raccomandato nel suo blog, “Suggeriamo agli utenti di contattare prima il fornitore del dispositivo per una soluzione se il loro Android TV viene infettato.”

Per quelle vittime che sono un po’ esperte di tecnologia, possono gestire il compito da sole. Ha detto, “Un altro modo per rimuovere il malware è possibile se l’utente può abilitare il debug ADB. Gli utenti possono collegare il loro dispositivo a un PC e avviare la shell ADB ed eseguire il comando ‘PM clear %pkg%’. Questo termina il processo del ransomware e sblocca lo schermo. Gli utenti possono quindi disattivare i privilegi di amministratore del dispositivo concessi all’applicazione e disinstallare l’app.”

Ha aggiunto ulteriormente, “Per proteggere i dispositivi mobili, consigliamo di installare software di sicurezza nei loro dispositivi intelligenti per proteggerli da app e minacce malevole. Trend Micro Mobile Security e Trend Micro Mobile Security Personal Edition proteggono gli utenti da questo ransomware e altre minacce correlate. Trend Micro Mobile Security Personal Edition è disponibile su Google Play.”

La prossima volta che il tuo Android smart TV si rifiuta di riprodurre, dovresti sapere che sei in attesa di un grosso riscatto.