Cuidado, este ransomware está buscando atingir suas Smart TVs

Criminosos cibernéticos extorquindo dinheiro de proprietários de Smart TVs Android após criptografar suas TVs com ransomware

Parece que, não importa o que as empresas de segurança façam para alcançá-los, os criminosos cibernéticos conseguem sempre estar um passo à frente. Em meio a ameaças de ransomware que estão fazendo manchetes nas últimas semanas, um novo tipo de ameaça surgiu.

Quando se pensava que os cibercriminosos estavam apenas interessados em invadir sites, roubar senhas, etc., parece que eles avançaram para um novo campo de interesse, que é a Internet das Coisas (IoT). Em outras palavras, se você possui um smartwatch, Smart TV, geladeira inteligente ou qualquer dispositivo inteligente conectado à Internet, pode querer ter cuidado.

Pesquisadores da Trend Micro encontraram um ransomware de bloqueio de tela móvel Android, conhecido como ‘FLocker’, que é capaz de bloquear smartphones Android, bem como Smart TVs. Sim, você ouviu certo!

Echo Duan, um pesquisador da Trend Micro, escreveu em um post de blog que, desde que a versão do FLocker (detectada como ANDROIDOS_FLOCKER.A e abreviada como “Frantic Locker”) foi lançada em maio de 2015, mais de 7.000 variações do ransomware malicioso foram rastreadas pela empresa. O ransomware FLocker inicialmente visava smartphones Android, com seus desenvolvedores continuamente atualizando o ransomware e adicionando suporte para novas mudanças no sistema Android.

“Esta é a primeira grande instância de ransomware a infectar TVs que encontramos”, disse Christopher Budd, gerente de comunicações de ameaças globais, ao SCMagazine.com em um e-mail.

De acordo com o relatório, seu autor continuou reescrevendo o malware para evitar a detecção e aprimorar sua rotina. “Nos últimos meses, vimos picos e quedas no número de iterações lançadas. O último pico ocorreu em meados de abril, com mais de 1.200 variantes”, disse a empresa.

Esse FLocker opera como um Trojan policial e tenta assustar a potencial vítima a pagar, alegando ser a Polícia Cibernética dos EUA ou outra agência de aplicação da lei. Uma vez que o malware é baixado e a TV bloqueada, o hacker acusa as potenciais vítimas de crimes que não cometeram e exige $200 em cartões-presente do iTunes para desbloquear a Smart TV ou dispositivo móvel.

Ironia do destino, a própria conveniência que os proprietários obtêm ao usar vários dispositivos que rodam em uma única plataforma torna a vida mais fácil para os hackers. “Usar vários dispositivos que rodam em uma única plataforma facilita a vida de muitas pessoas. No entanto, se um malware afeta um desses dispositivos, o referido malware pode eventualmente afetar os outros também”, escreveu Duan.

“Quanto a como, está sendo entregue através de vetores de infecção padrão: nada novo ou especial. As TVs, neste caso, são danos colaterais acidentais do ransomware e não especificamente visadas. Elas apenas acontecem de estar rodando uma versão atacável do Android.”, disse Budd.

Há pouca diferença entre o FLocker que ataca dispositivos móveis e a versão que vai atrás das Smart TVs.

“Para evitar análise estática, o FLocker esconde seu código em arquivos de dados brutos dentro da pasta “assets”. O arquivo que ele cria é nomeado “form.html” e parece um arquivo normal. Ao fazer isso, o código de “classes.dex” se torna bastante simples e nenhum comportamento malicioso pode ser encontrado lá. Assim, o malware tem a chance de escapar da análise de código estático. Quando o malware é executado, ele descriptografa “form.html” e executa o código malicioso”, escreveu ele.

A Trend Micro diz que o malware está configurado para desativar-se em algumas regiões, incluindo Rússia, Bulgária, Hungria, Ucrânia, Geórgia, Cazaquistão, Azerbaijão, Armênia e Bielorrússia.

No entanto, se o FLocker detectar dispositivos fora desses países, o malware aguardará 30 minutos. Após o curto período de espera, ele inicia o serviço em segundo plano que solicita privilégios de administrador do dispositivo imediatamente. Se o usuário negar o pedido, ele congelará a tela fingindo uma atualização do sistema.

O FLocker roda em segundo plano e se conecta a um comando e controle (C&C). O C&C então entrega um novo payload misspelled.apk e o arquivo HTML de “resgate” com uma interface JavaScript (JS) habilitada. Esta página HTML tem a capacidade de iniciar a instalação do APK, tirar fotos do usuário afetado usando a interface JS e exibir as fotos tiradas na página de resgate.

A página da web de resgate se ajusta à tela, independentemente de ter infectado um dispositivo móvel ou uma smart TV.

Embora a nova variante do FLocker não criptografe arquivos no dispositivo infectado, ela tem a capacidade de roubar dados do dispositivo, incluindo contatos, número de telefone, informações do dispositivo e dados de localização.

Embora o relatório da Trend Micro não deixe claro como o FLocker infecta smart TVs, menciona que, tipicamente, a infecção por ransomware chega através de SMS ou links maliciosos.

Portanto, você deve ter cautela ao navegar na Internet e ao receber mensagens de texto ou e-mails de fontes desconhecidas.

Para aquelas pessoas que não residem na Europa Oriental, Duan recomendou em seu blog: “Sugerimos que o usuário entre em contato com o fornecedor do dispositivo para uma solução primeiro, se sua TV Android for infectada.”

Para aquelas vítimas que são um pouco mais experientes em tecnologia, elas podem possivelmente lidar com a tarefa sozinhas. Ele disse: “Outra maneira de remover o malware é possível se o usuário puder habilitar a depuração ADB. Os usuários podem conectar seu dispositivo a um PC e lançar o shell ADB e executar o comando “PM clear %pkg%”. Isso encerra o processo do ransomware e desbloqueia a tela. Os usuários podem então desativar o privilégio de administrador do dispositivo concedido ao aplicativo e desinstalar o aplicativo.”

Ele acrescentou ainda: “Para proteger dispositivos móveis, aconselhamos a instalação de software de segurança em seus dispositivos inteligentes para protegê-los de aplicativos e ameaças maliciosas. Trend Micro Mobile Security e Trend Micro Mobile Security Personal Edition protegem os usuários deste ransomware e outras ameaças relacionadas. Trend Micro Mobile Security Personal Edition está disponível no Google Play.”

Na próxima vez que sua Smart TV Android se recusar a reproduzir, você deve saber que está prestes a enfrentar um grande resgate.