A Kaspersky Lab anunciou as descobertas do seu Mobile Virusology malware report for 2016 sobre malware em dispositivos móveis, que encontrou um aumento de quase três vezes em detecções de malware nesses dispositivos em relação a 2015 – com a identificação de um total de 8,5 milhões de instalações maliciosas. O relatório anual também destaca a evolução dos cavalos de Tróia bancários para dispositivos móveis. Agentes especialistas do Complexo Internacional para Inovação da INTERPOL contribuíram para o relatório através de uma análise do malware disponíveis na Dark Web.
No espaço de apenas um ano, foi lançado um volume equivalente a 50% de todo o malware detectado nos 11 anos anteriores (15,77 milhões de 2004 a 2015). Este volume é liderado por cavalos de Tróia de publicidade para dispositivos móveis, que agora representam 80% dos principais programas maliciosos. Além disso, os produtos de segurança para dispositivos móveis da Kaspersky Lab relataram:
• Cerca de 40 milhões de tentativas de ataques por malware em dispositivos móveis, com mais de 4 milhões de usuários de dispositivos baseados em Android protegidos (em comparação com 2,6 milhões em 2015)
• Mais de 260.000 detecções de pacotes de instalação para cavalos de Tróia de ransomware (um aumento ano-a-ano de quase 8,5 vezes)
• Mais de 153.000 usuários únicos atacados por ransomware em dispositivos móveis (um aumento de 1,6 x em relação a 2015)
• Mais de 128.000 cavalos de Tróia para dispositivos móveis detectados (quase 1,6 vezes mais do que em 2015)
Cavalo de Tróia de Publicidade: o seu dispositivo já permite acesso ao root?
O tipo de cavalo de Tróia mais difundido em 2016 foi a variedade de publicidade, que representam 80% dos maiores programas de malware
Estes cavalos de Tróia são capazes de aproveitar os direitos de acesso ao root, permitindo que o malware não apenas exiba agressivamente anúncios no dispositivo infectado, muitas vezes tornando impossível o seu uso, mas também para secretamente instalar outros aplicativos. Esses cavalos de Tróia também podem comprar aplicativos no Google Play.
Em muitos casos, os cavalos de Tróia conseguiram explorar vulnerabilidades previamente corrigidas, porque o usuário não tinha instalado a atualização mais recente.
Além disso, este malware instala simultaneamente seus módulos na pasta de sistema, o que dificulta enormemente o tratamento do dispositivo infectado. Alguns cavalos de Tróia de publicidade são capazes de infectar a imagem de recuperação, tornando impossível resolver o problema restaurando o dispositivo com as configurações de fábrica.
Já foram repetidamente encontrados representantes dessa classe de software mal-intencionado na loja oficial de aplicativos do Google Play, por exemplo, mascarados como um guia para o Pokémon GO. Neste caso, o aplicativo foi baixado mais de 500.000 vezes e é detectado como um Trojan.AndroidOS.Ztorg.ad.
Ransomware para dispositivos móveis: evolução
• Em 2016, 153.258 usuários únicos de 167 países foram atacados por programas Trojan-Ransom (cavalos de Tróia de ransomware); isto é 1,6 x mais do que em 2015.
O ransomware moderno sobrepõe as telas com mensagens de pedido de resgate, tornando assim impossível utilizar o dispositivo. Este princípio foi usado pelo programa de ransomware para dispositivos móveis mais popular de 2016 – o Trojan-Ransom.AndroidOS.Fusob.
Este cavalo de Tróia ataca principalmente usuários na Alemanha, nos Estados Unidos e no Reino Unido, mas evita os usuários da Comunidade de Estados Independentes e de alguns países vizinhos. Quando iniciado, ele executa uma verificação da linguagem do dispositivo e, após alcançar alguns resultados, ele pode interromper a execução. Os ciber-criminosos por trás desse cavalo de Tróia geralmente exigem entre US$ 100 e US$ 200 para desbloquear um dispositivo. O resgate precisa ser pago usando códigos de cartões pré-pagos do iTunes.
Cavalo de Tróia bancário para dispositivos móveis: uma ameaça disparada
• Em 2016, mais de 305.000 usuários em 164 países foram atacados por cavalos de Tróia para dispositivos móveis, comparado com mais de 56.000 usuários em 137 países no ano anterior.
• A Rússia, a Austrália e a Ucrânia são os três principais países impactados em termos de porcentagem de usuários atacados por cavalos de Tróia bancários para dispositivos móveis, em relação a todos os usuários atingidos por malware para dispositivos móveis.
Os cavalos de Tróia bancários para dispositivos móveis continuaram a evoluir ao longo do ano. Muitos deles ganharam ferramentas para contornar os novos mecanismos de segurança do Android, e foram capazes de continuar roubando informações mesmo de usuários das versões mais recentes do sistema operacional. Ao mesmo tempo, os desenvolvedores de cavalos de Tróia para dispositivos móveis aprimoraram repetidamente suas criações com novas capacidades. Por exemplo, a família Marcher, além de realizar a sobreposição de aplicativos bancários comuns, redirecionou usuários de sites de instituições financeiras para páginas de phishing.
A ilusão da Dark Web
De acordo com agentes especializados do Complexo Global para Inovação da INTERPOL que também contribuíram para o relatório, a Dark Web continua a ser um meio atraente para realizar negócios e atividades ilícitas. Dado o seu robusto anonimato, preços baixos e estratégia orientada ao cliente, a Dark Web fornece meios para que os criminosos se comuniquem e realizem transações comerciais, comprando e vendendo diversos produtos e serviços, incluindo kits de malware para dispositivos móveis.
O malware para dispositivos móveis colocado à venda como pacotes de software (por exemplo, cavalos de Tróia de acesso remoto – RATs), soluções individuais e ferramentas sofisticadas, semelhantes àquelas desenvolvidas por empresas profissionais ou, em menor escala, como parte de um modelo de “Bot como um Serviço”. O malware para dispositivos móveis também é um “assunto de interesse” nas lojas de fornecedores, nos fóruns e nas mídias sociais.
