O uso de vários dispositivos executados em uma única plataforma, é tendência cada vez maior entre os usuários de diferentes tecnologias.
No entanto, se um malware afeta um desses dispositivos, eventualmente, a mesma ameaça pode se aplicar aos outros aparelhos conectados. A Trend Micro detectou um ransomware de bloqueio de tela em dispositivos Android, conhecido como “FLocker”, que também é capaz de bloquear Smart TV’s.
Desde que o FLocker (identificado como ANDROIDOS_FLOCKER.A, abreviado de “Frantic Locker”) surgiu pela primeira vez em maio de 2015, a Trend Micro reuniu mais de 7.000 variantes no banco de amostras.
Porém, como constatado pela empresa, o autor reescreveu o malware diversas vezes para mudar a rotina da ameaça e assim, evitar a detecção. Ao longo dos últimos meses, a Trend Micro observou oscilações no número de interações liberadas. O último pico em meados de abril, teve mais de 1.200 variantes.
A mais recente variante do FLocker, é um trojan que finge ser da Polícia Cibernética dos Estados Unidos e acusa potenciais vítimas de crimes que não cometeram. O trojan cobra uma multa de 200 dólares que deve ser paga em cartões de presente do iTunes. Com base na análise da Trend Micro, não existe uma grande diferença entre a variante FLocker que pode infectar um dispositivo móvel e a versão atacante de Smart TVs.
Para evitar a análise estática, o FLocker esconde seu código em arquivos de dados brutos dentro da pasta “ativos”. O arquivo criado é nomeado “form.html” e se parece com um arquivo normal.
Com isso, nenhum comportamento mal-intencionado pode ser identificado e o malware pode escapar da análise estática do código. Quando o malware é executado, ele decifra o “form.html” e executa o código malicioso.
Quando executado pela primeira vez, o FLocker verifica se o dispositivo está localizado nos seguintes países do Leste Europeu: Cazaquistão, Azerbaijão, Bulgária, Geórgia, Hungria, Ucrânia, Rússia, Armênia e Belarus. Caso o dispositivo esteja localizado em qualquer um destes locais, ele se desativa.
Se o FLocker atinge um alvo compatível, ele executa sua rotina de 30 minutos após infectar a unidade. Em seguida, inicia o serviço do plano de fundo que imediatamente solicita privilégios de administrador. A Trend Micro considera isso como um truque para contornar o sandbox dinâmico. Se o usuário negar o acesso, ele irá congelar a tela com uma falsa atualização do sistema.
O FLocker é executado em segundo plano e se conecta a um servidor de comando e controle (C&C) para receber comandos.
O C&C, em seguida, fornece um novo payload misspelled.apk e um arquivo HTML de “resgate” com uma interface habilitada para JavaScript (JS). Esta página HTML consegue iniciar a instalação APK, tirar fotos do usuário afetado usando a interface JS e exibir as fotos tiradas, na página de resgate.
A página da Web de resgate se encaixa na tela, independentemente se tiver infectado um dispositivo móvel ou uma Smart TV.
Enquanto a tela está bloqueada, o servidor C&C coleta informações do dispositivo, número de telefone, contatos e localização em tempo real. Estes dados são criptografados com uma chave AES codificada e codificados em base64.
O ransomware geralmente atinge os usuários via SMS spam ou links maliciosos. Por isso, a Trend Micro sugere que os usuários sejam cautelosos ao navegar na internet ou receberem mensagens e e-mails de origens desconhecidas.
Soluções
Se uma TV Android for infectada, a sugestão é que o usuário entre em contato com o fornecedor do dispositivo para avaliar uma solução viável. Outra forma de remover o malware é se o usuário puder ativar a depuração ADB, conectando o seu dispositivo a um PC, iniciar o shell ADB e executar o comando “PM clear %pkg%”. Isso mata o processo do ransomware e desbloqueia a tela. Os usuários podem, em seguida, desativar o privilégio de administração que foi concedido à aplicação e desinstalar o aplicativo do dispositivo.
