Ransomware Android à solta, pede cartão-presente do iTunes como resgate

Ransomware Android Dogspectus instala-se silenciosamente no seu smartphone e exige resgate de $200 em cartão-presente do iTunes

Pesquisadores de segurança da Blue Coat descobriram uma nova campanha de distribuição de malware móvel espalhando um Ransomware Android chamado Dogspectus, que não requer nenhum tipo de interação do usuário para infectar dispositivos com ransomware.

Os especialistas do Blue Coat Labs detectaram a ameaça pela primeira vez após um tablet rodando CyanogenMod 10 / Android 4.2.2 visualizar um anúncio que servia silenciosamente cargas maliciosas sem qualquer interação do usuário.

A infecção ocorre quando os usuários visitam um site que contém código JavaScript contaminado. O Blue Coat Labs afirma que o código malicioso é entregue através de anúncios maliciosos (malvertising). O código malicioso sequestra anúncios móveis para enganar cartões-presente, bloqueando o dispositivo em um estado que permite apenas que as vítimas façam o pagamento.

Pesquisadores de segurança da Zimperium confirmaram que o código malicioso continha um exploit vazado no ano passado na violação de dados da Hacking Team.

O ataque é muito sofisticado e significa a evolução do ataque clássico de malvertising, como explicado abaixo por Andrew Brandt, da Blue Coat.

“Esta é a primeira vez, até onde sei; um kit de exploração conseguiu instalar com sucesso aplicativos maliciosos em um dispositivo móvel sem qualquer interação do usuário por parte da vítima. Durante o ataque, o dispositivo não exibiu a caixa de diálogo normal de ‘permissões de aplicativo’ que normalmente aparece antes da instalação de um aplicativo Android.” escreveu Brandt.

Após uma análise mais aprofundada com a ajuda de pesquisadores da Zimperium, foi revelado que o exploit aproveita uma vulnerabilidade na biblioteca libxslt do Android que permite que atacantes baixem um binário ELF do Linux chamado module.so no dispositivo.

Esse binário usa o exploit Android conhecido como Towelroot para obter privilégios de root no dispositivo. A ferramenta foi lançada em 2014 pelo popular hacker George Hotz, e é capaz de fazer root em dispositivos Android explorando uma falha conhecida do Linux (CVE-2014-3153).

Uma vez que o acesso root é confirmado, o module.so também baixará um APK Android adicional (Pacote de Aplicativo Android), que contém o código do ransomware. O atacante pode então instalar silenciosamente o ransomware com acesso root em mãos e sem solicitar qualquer permissão ao usuário.

O nome deste trojan ransomware é Dogspectus ou Cyber.Police e foi detectado pela primeira vez em dezembro de 2014. Comparado ao ransomware baseado em desktop que criptografa arquivos, este aplicativo não criptografa os arquivos do usuário. Em vez disso, exibe um aviso falso, supostamente de agências de aplicação da lei, dizendo que atividade ilegal foi detectada no dispositivo e que o proprietário precisa pagar uma multa.

O Blue Coat Labs afirma que as vítimas infectadas enviam tráfego não criptografado de seus dispositivos para um servidor central de comando e controle. A empresa conseguiu rastrear o tráfego proveniente de 224 modelos diferentes de dispositivos Android (tablets, smartphones), usando versões do Android entre 4.0.3 e 4.4.4.

A versão mais baixa oficialmente suportada do Android é 4.4.4, o que significa que os atacantes estão visando usuários que não conseguiram ou não podem atualizar seus dispositivos.

“O fato de que alguns desses dispositivos são conhecidos por não serem vulneráveis especificamente ao exploit libxlst da Hacking Team significa que diferentes exploits podem ter sido usados para infectar alguns desses [outros] dispositivos móveis,” observa Brandt.

“O ransomware não ameaça (ou realmente) criptografar os dados da vítima. Em vez disso, o dispositivo é mantido em um estado bloqueado onde não pode ser usado para nada além de entregar o pagamento aos criminosos na forma de dois códigos de cartão-presente do iTunes de $100,” Brandt escreveu em uma nota de pesquisa.

Vítimas que optam por pagar o resgate para desbloquear seu telefone são direcionadas a pagar uma “multa” entre $100 e $200 para uma “conta do tesouro” através da submissão de códigos de cartão-presente do iTunes.

No entanto, Brandt disse que a maneira mais fácil e eficaz de remover o ransomware é restaurar o dispositivo Android para seu software original de fábrica. Portanto, no caso de você se encontrar infectado com o ransomware Android Dogspectus, é sugerido que você conecte o dispositivo ao seu PC e copie dados pessoais para o seu computador antes de optar por uma redefinição de fábrica.

Além disso, é sempre recomendado atualizar o dispositivo para a versão mais recente do Android, pois versões mais novas do sistema operacional incluem correções de vulnerabilidades e outras melhorias de segurança. Além disso, os usuários devem restringir suas atividades de navegação na Web no dispositivo, uma vez que ele saia do suporte e não receba mais atualizações. Da mesma forma, em dispositivos mais antigos, em vez de usar o navegador Android padrão, eles devem instalar um navegador como o Chrome.