Vírus sequestradores para smartphones estão mais perigosos

2 jul 2016

Semana passada, falamos sobre ransomware de desktops que são problema na certa. Esses vírus sequestradores não são encontrados apenas em PCs, mas também em dispositivos móveis – e o número de ataques não para de subir.

ransomware-template-2-featured

O que são os ransomwares mobile?
Muitas pessoas já sabem o que são os ransomwares. O tipo mais comum – e irritante – é o cryptolocker, que encripta seus dados e pede resgate. Outro tipo, o blocker, bloqueia tanto navegadores quanto sistemas operacionais. Atualmente, blockers são menos comuns que crypto, provavelmente pelo fato de o último ser mais lucrativo.

Já a situação de ameaças em dispositivos mobile é oposta: existem pouquíssimos cryptolockers para Android, pois o sistema e os aplicativos fazem backups na nuvem. Por isso, cibercriminosos possuem pouco incentivo para atacar.

Blockers representam um meio de infecção muito mais popular no Android. Eles agem sobrepondo a interface de todo e qualquer aplicativo com a do ransomware -assim a vítima não consegue usar qualquer programa. Donos de PCs podem se livrar com facilidade – é só retirar o HD, conectá-lo a outro computador e apagar os arquivos do blocker. O problema é que não dá pra fazer o mesmo com o armazenamento principal do seu telefone – está soldado à placa mãe.

Ransomwares pequenos, grandes estragos
Em 2014-2015 quatro malwares diferentes dominavam o cenário mobile: Sypeng, Pletor, Small e Fusob. Atuamente, a expansão do Pleto praticamente parou; seus criadores lançaram o Acecard Trojan e direcionaram seus recursos para o desenvolvimento e disseminação do novo malware. Os desenvolvedores do Svpeng também mudaram de foco, dando atenção à versão internet banking do Trojan. Isso nos deixa com duas grandes famílias: Small e Fuaob. Por isso, em 2015-2016 esses dois Trojans representam mais de 93% do total desse tipo de vírus.

Vale destacar que o Fusob e o Small têm vários pontos em comum. Ambos exibem interfaces que se passam por autoridades, acusando a vítima de algum pequeno delito, e dizem que um processo criminal será aberto caso a pessoa não pague uma multa.

Eles oferecem formas estranhas de pagamento de resgate: o Fusob demanda pagamento por meio de cartões presente do iTunes, já o Small oferece a opção do sistema de pagamentos Kiwi ou pelo MoneyPak Express vouchers. Ambos devem ter sido criados por algum grupo de cibercriminosos falantes de russo, mas com abordagens diferentes.

O Fusob primeiro detecta o idioma do dispositivo. Caso trate-se de um dos idiomas de uma das repúblicas que faziam parte da antiga União Soviética, não faz nada. Caso contrário, exibe uma tela que alega ser da NSA e exige o pagamento do resgate – de 100 a 200 dólares. A maioria das vítimas do Fusob (mais de 41%) moram na Alemanha; em segundo, Reino Unido (14,5%) e Estados Unidos (11,4%).

Já a família Small faz vítimas, principalmente, em três países nos quais o Fusob não atua: Rússia, Cazaquistão e Ucrânia. O ransomware exibe uma tela parecida com as dos sites governamentais, orientando sobre o pagamento que varia entre 700 a 3500 rublos (aproximadamente, 10 a 50 dólares) para desbloquear o dispositivo infectado. Uma versão inglesa do Small também existe, mas a tela de bloqueio menciona o FBI e demanda quase 300 dólares para a liberação do dispositivo.

Existem outras duas versões do Small. Uma é um cryptolocker que realiza as mesmas operações que o primeiro, mas também encripta arquivos no cartão SD do dispositivo. A segunda é uma versão defeituosa capaz de roubar dinheiro, dados do celular e claro, bloquear o dispositivo.

E agora? O que podemos esperar?
Mesmo quando malwares mobile não eram muito relevantes, começamos a avisar sobre os perigos inerentes aos ataques. Como previmos, essa forma de malware está passando por um crescimento explosivo sem mostrar qualquer sinal de desaceleração. Desde 2014, ataques a dispositivos mobile quase duplicaram!

O número de vítimas de ransomware também cresceu – mais do que o dobro, de 2,04 % para 4,63 %. Ano passado, os Estados Unidos representavam o principal alvo para ataques de ransomware mobile – um em cada dez usuários que encontraram malwares terminaram com seus dispositivos infectados com algum tipo de ransomware. Agora são dois em 10 tanto na Alemanha quanto no Canadá. Um em sete no Reino Unido, Estados Unidos e Cazaquistão, e mais de um em dez na Itália e na Holanda.

Esperamos que mobile malware – em particular ransomwares se tornem ainda mais populares no ano que vem. Para ler um relatório ainda mais detalhado sobre ransomwares, visite o securelist.com.

Como se proteger

  1. Instale aplicativos apenas de lojas oficiais como a Google Play. Esteja certo de que nenhum aplicativo consiga entrar em seu dispositivo a partir de uma fonte não confiável, vá até as configurações do Android, em segurança, e verifique se a caixinha com “fontes desconhecidas” não está marcada.
  2. Atualize o firmware do dispositivo regularmente, assim como os aplicativos instalados. Você pode optar pela atualização automática dos aplicativos, mas ainda precisará atualizar o sistema manualmente – e é melhor fazer isso logo que uma nova versão ficar disponível.
  3. Tenha uma boa solução de segurança em seu dispositivo. Mesmo que você já tenha instalado todos as atualizações possíveis e feito o download de aplicativos apenas de lojas oficiais, infelizmente, o risco não está 100% eliminado. Malwares podem muito bem se esgueirar na Google Play e por meio de exploits direcionados para vulnerabilidades ainda desconhecidas. Para evitar cair nas garras de mobile ransomware, recomendamos que você use a versão completa do Kaspersky Internet Security para Android, apenas ela monitora constantemente o que está ocorrendo com seu dispositivo e elimina ameaças logo que aparecem.