FLocker afeta Smart TVs e dispositivos Android

Especialistas da Trend Micro descobriram ransomware que bloqueia televisores inteligentes, acusando o usuário de cometer crimes, e exige pagamento em cartões de presente do iTunes

Compartilhar:

O uso de vários dispositivos executados em uma única plataforma, é tendência cada vez maior entre os usuários de diferentes tecnologias.

No entanto, se um malware afeta um desses dispositivos, eventualmente, a mesma ameaça pode se aplicar aos outros aparelhos conectados. A Trend Micro detectou um ransomware de bloqueio de tela em dispositivos Android, conhecido como “FLocker”, que também é capaz de bloquear Smart TV’s.

Desde que o FLocker (identificado como ANDROIDOS_FLOCKER.A, abreviado de “Frantic Locker”) surgiu pela primeira vez em maio de 2015, a Trend Micro reuniu mais de 7.000 variantes no banco de amostras.

Porém, como constatado pela empresa, o autor reescreveu o malware diversas vezes para mudar a rotina da ameaça e assim, evitar a detecção. Ao longo dos últimos meses, a Trend Micro observou oscilações no número de interações liberadas. O último pico em meados de abril, teve mais de 1.200 variantes.

A mais recente variante do FLocker, é um trojan que finge ser da Polícia Cibernética dos Estados Unidos e acusa potenciais vítimas de crimes que não cometeram. O trojan cobra uma multa de 200 dólares que deve ser paga em cartões de presente do iTunes. Com base na análise da Trend Micro, não existe uma grande diferença entre a variante FLocker que pode infectar um dispositivo móvel e a versão atacante de Smart TVs.

Para evitar a análise estática, o FLocker esconde seu código em arquivos de dados brutos dentro da pasta “ativos”. O arquivo criado é nomeado “form.html” e se parece com um arquivo normal.

Com isso, nenhum comportamento mal-intencionado pode ser identificado e o malware pode escapar da análise estática do código. Quando o malware é executado, ele decifra o “form.html” e executa o código malicioso.

Quando executado pela primeira vez, o FLocker verifica se o dispositivo está localizado nos seguintes países do Leste Europeu: Cazaquistão, Azerbaijão, Bulgária, Geórgia, Hungria, Ucrânia, Rússia, Armênia e Belarus. Caso o dispositivo esteja localizado em qualquer um destes locais, ele se desativa.

Se o FLocker atinge um alvo compatível, ele executa sua rotina de 30 minutos após infectar a unidade. Em seguida, inicia o serviço do plano de fundo que imediatamente solicita privilégios de administrador. A Trend Micro considera isso como um truque para contornar o sandbox dinâmico. Se o usuário negar o acesso, ele irá congelar a tela com uma falsa atualização do sistema.

O FLocker é executado em segundo plano e se conecta a um servidor de comando e controle (C&C) para receber comandos.

O C&C, em seguida, fornece um novo payload misspelled.apk e um arquivo HTML de “resgate” com uma interface habilitada para JavaScript (JS). Esta página HTML consegue iniciar a instalação APK, tirar fotos do usuário afetado usando a interface JS e exibir as fotos tiradas, na página de resgate.

A página da Web de resgate se encaixa na tela, independentemente se tiver infectado um dispositivo móvel ou uma Smart TV.

Enquanto a tela está bloqueada, o servidor C&C coleta informações do dispositivo, número de telefone, contatos e localização em tempo real. Estes dados são criptografados com uma chave AES codificada e codificados em base64.

O ransomware geralmente atinge os usuários via SMS spam ou links maliciosos. Por isso, a Trend Micro sugere que os usuários sejam cautelosos ao navegar na internet ou receberem mensagens e e-mails de origens desconhecidas.

Soluções

Se uma TV Android for infectada, a sugestão é que o usuário entre em contato com o fornecedor do dispositivo para avaliar uma solução viável. Outra forma de remover o malware é se o usuário puder ativar a depuração ADB, conectando o seu dispositivo a um PC, iniciar o shell ADB e executar o comando “PM clear %pkg%”. Isso mata o processo do ransomware e desbloqueia a tela. Os usuários podem, em seguida, desativar o privilégio de administração que foi concedido à aplicação e desinstalar o aplicativo do dispositivo.

Conteúdos Relacionados

Security Report | Overview

Vazamentos geraram cerca de 600 anúncios com dados brasileiros na dark web

Análise da Kaspersky indica que os setores público e de telecomunicações foram os mais visados pelos ataques que resultaram nos...
Security Report | Overview

Febraban alerta para golpe do falso fornecedor

Criminosos investem em anúncios na internet e em plataformas online de serviços de manutenção para cometer crimes com o uso...
Security Report | Overview

Novo malware finge ser assistente de IA para roubar dados de brasileiros, afirma relatório

Pesquisa revela que golpistas estão usando anúncios no Google e um aplicativo falso de IA (DeepSeek) para instalar programa que...
Security Report | Overview

Brasil está entre os dez países com mais ameaças de malware, afirma pesquisa

Relatório indica nações que devem tomar precauções extras para tornar os sistemas corporativos mais resilientes contra ataques como ransomware