Imitação do Ransomware WannaCry Alvo de Smartphones Android

Imitador do WannaCry criptografa arquivos no armazenamento externo de smartphones Android

Parece que o ransomware WannaCry se tornou uma fonte de inspiração para muitos criminosos ao redor do mundo. Recentemente, relatamos como um adolescente de 14 anos do Japão, impressionado pelo malware, foi preso na semana passada por desenvolver um malware semelhante ao WannaCry.

Agora, cibercriminosos na China desenvolveram um ransomware Android que usa gráficos semelhantes ao WannaCry e engana os usuários a pagarem rapidamente o resgate.

Para quem não está familiarizado, o ransomware WannaCry explorou uma vulnerabilidade no sistema operacional Windows da Microsoft e infectou mais de 300.000 computadores em 150 países em 72 horas no mês passado. O cryptoworm WannaCry criptografou dados e exigiu pagamento em moeda virtual Bitcoin em troca de uma senha para desbloquear os dados.

Detectado primeiro pela empresa de segurança chinesa Qihoo 360 e apelidado de “WannaLocker” pela Avast, esta versão imitadora do ransomware WannaCry está atualmente mirando usuários Android que vivem na China. Os hackers estão espalhando esse ransomware através de fóruns de jogos chineses, onde está disfarçado como um plugin para o Rei da Glória, um jogo móvel muito popular na China.

Como o malware funciona?

Após a instalação deste complemento falso no dispositivo, o ransomware WannaLocker esconde seu ícone de aplicativo da gaveta de aplicativos e muda o papel de parede principal do dispositivo infectado para uma imagem de anime. Em seguida, começa a criptografar os arquivos armazenados no armazenamento externo do dispositivo infectado.

O ransomware usa criptografia AES para bloquear os arquivos (veja o código abaixo). Para evitar corrupção e falhas do sistema operacional Android, ele não criptografa arquivos que começam com um “.”, ou arquivos que incluem “DCIM”, “download”, “miad”, “android” e “com.” no caminho, ou arquivos que são maiores que 10 KB.

Uma vez que o processo de criptografia é concluído, ele exige um resgate ainda menor que o Simplocker e usa uma mensagem de resgate claramente inspirada na nota do WannaCry para revelar suas ordens.

Nikolaos Chrysaidos, chefe de inteligência de ameaças móveis e segurança da Avast, explica mais em um post no blog:

“O ransomware então exige um resgate de 40 Renminbi chineses, que é equivalente a cerca de 5-6 dólares americanos. Isso não é muito comparado ao que outros ransomwares móveis exigiram no passado. O fato de que o resgate está sendo exigido em moeda regular e não em criptomoedas me faz pensar que as pessoas por trás disso estão tentando ganhar dinheiro, e rápido. Isso, no entanto, é arriscado, pois o dinheiro pode ser facilmente rastreado, ao contrário de quando se envia criptomoedas.”

As vítimas do ransomware são instruídas a pagar o resgate em moeda regular usando métodos de pagamento chineses como QQ, Alipay e WeChat.

O manuseio descuidado do resgate sugere que pode ser obra de um hacker amador ou grupo de hackers. Como resultado, é apenas uma questão de tempo até que as autoridades chinesas descubram quem está por trás do ransomware WannaLocker e quem está recebendo o resgate.

Aqui está um conselho de segurança da Avast para usuários Android:

Para proteger seu telefone e fotos, vídeos, contatos valiosos armazenados nele de ransomware, certifique-se de fazer backup de seus dados com frequência e instalar antivírus em todos os seus dispositivos.

Além disso, os usuários Android devem evitar baixar aplicativos em qualquer mercado de aplicativos que não seja o Google Play. Caso você se torne uma vítima de um ataque baseado em resgate, não ceda à demanda de resgate e busque ajuda profissional em vez disso.

Na semana passada, a Check Point, uma empresa de segurança online, detectou um malware malicioso chamado “Fireball” que foi criado pela corporação de anúncios chinesa Rafotech, que assume o controle do navegador da web do usuário e gera cliques e promoções de anúncios falsos para seus clientes online. O malware afetou mais de 250 milhões de computadores ao redor do mundo, sendo a Índia o país mais afetado.

Fonte: IBT