Segurança Cibernética

Você perde tudo: veja o que são os ransomwares nos smartphones

Lisandro Carmona de Souza, 31 Outubro 2016

O ransomware é um malware que bloqueia o aparelho e criptografa os dados e depois exige o pagamento de um resgate para desbloquear os dados.

O ransomware sempre esteve nas manchetes de segurança. O ransomware para Windows chamado Locky estava circulando em fevereiro e infectou muitos hospitais americanos, forçando o desligamento de suas redes. No entanto, o ransomware não está apenas atacando os computadores, mas esta praga está se tornando cada vez mais sofisticada e invadiu também os smartphones e tablets.

O que é o ransomware?

O ransomware é um tipo de malware que bloqueia um aparelho e criptografa os seus dados. Depois, exige o pagamento de um resgate para desbloquear o aparelho e descriptografar os dados. Resumindo: você perde tudo.O raFBI_ransomware_warning.pngnsomware geralmente se espalha utilizando táticas de engenharia social, isto é, faz com que as pessoas sejam enganadas e baixem o malware em seus aparelhos. Nos casos ocorridos via engenharia social, as vítimas pensam que estão baixando um conteúdo inocente ou entrando em um serviço indispensável, como um programa antivírus ou pagando uma conta, quando, na realidade, elas estão fazendo download do ransomware. Uma vez baixado, o ransomware mostra uma mensagem falsa acusando o usuário de alguma atividade ilegal (pedofilia, pornografia ilegal ou algo do tipo). O ransomware então criptografa os arquivos ou bloqueia o aparelho e exige o pagamento de um resgate para liberar os arquivos ou o próprio aparelho. Depois que o pagamento é feito, geralmente através de Bitcoins pela rede Tor, o ransomware se comunica com o servidor de comando e controle que envia a chave para descriptografar o computador da vítima.

“O ransomware explodiu porque tem um efeito imediato sobre a psicologia do usuário. Medo e ansiedade são duas das principais emoções que os criminosos podem produzir para levar as vítimas a pagar o resgate", disse Nikolaos Chrysaidos, analista de malware móvel da Avast. “A engenharia social tem um papel decisivo para gerar o medo. As imagens e o texto podem levar a vítima a acreditar que estão sendo acusadas de envolvimento em atividades ilegais. A ansiedade pode ser criada por contagens regressivas que limitam o tempo para que a vítima pague o resgate e descriptografe o aparelho ou os arquivos".

Como o ransomware migrou para os smartphones e tablets?

Os cibercriminosos são como as adolescentes que gostam das últimas modas e, neste caso, quiseram também "partir para a tecnologia móvel" utilizando ransomwares. O malware utilizado para atacar computadores está agora mirando os smartphones e tablets.

Quase dois terços dos americanos possui um smartphone e de acordo com um relatório da Ericsson, 70% da população mundial estará utilizando um smartphone em 2020. Este crescente público alvo é ideal para os cibercriminosos porque as pessoas estão armazenando cada vez mais dados pessoais e sensíveis em seus smartphones, o que também significa que estão mais dispostas a pagar um resgate para recuperar os seus dados em caso de ameaça.

2014

Em 2014, surgiu a primeira variante do Simplocker. O Simplocker é o primeiro ransomware móvel que realmente criptografava imagens, documentos e vídeos utilizando o protocolo Advanced Encryption Standard (AES). Antes do Simplocker, o ransomware móvel simplesmente alegava criptografar os dados como uma tática de medo, mas, na prática, não criptografava nenhum arquivo.

Ainda que a primeira variante do Simplocker tenha sido algo revolucionário, ela utilizava a mesma criptografia em todos os aparelhos que infectava (pense em algo como uma "chave mestra"). Tão logo nós rastreamos a chave de criptografia e fomos capazes de criar um aplicativo chamado Avast Ransomware Removal que podia descriptografar todos os aparelhos infectados com o Simplocker.

2015

Alguns meses depois, apareceu a segunda variante do Simplocker. Os cibercriminosos por trás do Simplocker inicial perceberam que precisavam de um método de ataque mais poderoso e por isso começaram a gerar chaves únicas para cada aparelho infectado. Naturalmente, isto tornou mais difícil de descriptografar os aparelhos infectados.  

“As chaves de criptografia dos ransomwares móveis estão se tornando mais fortes, mais ainda são cerca de 5 vezes menos sofisticadas do que as dos computadores", disse Filip Chytry, pesquisador de segurança da Avast. “O ransomware móvel está agora criptografando os dados com AES 256-bits, o que torna quase impossível descriptográ-los sem a chave correta".

Em 2015, registramos que mais de 200.000 dos nossos usuários móveis foram atingidos por ransomwares. Já detectamos um crescimento de 5% a 6% entre o início de 2015 e o início de 2016, e não parece que este crescimento diminuirá nos próximos meses.

Como o ransomware móvel é espalhado?

Já que é difícil que o malware invada a Google Play Store, os desenvolvedores de ransomwares se apoiam com tudo na engenharia social para enganar as pessoas e fazê-las baixar o conteúdo malicioso dos seus sites. Já vimos muitos casos onde o ransomware é disfarçado de um aplicativo antivírus em um site que parece quase idêntico ao Google Play. Primeiro o usuário se depara com uma propaganda enquanto navega e que "informa" que o aparelho está infectado. Tocando na propaganda, será aberta uma página que se parece com a Loja Google Play. Se você olhar com cuidado, verá que o site tem um nome de domínio diferente. O falso site terá um endereço, por exemplo, google.xy e não google.com. O falso aplicativo irá informar à vítima que precisa habilitar o uso de aplicativos de outras fontes (lojas) que a oficial da Loja Google Play.

O ransomware também pode ser disseminado através de falhas ou bugs como o Certifi-gate. Se o ransomware for distribuído via Certifi-gate, um aplicativo malicioso não precisa enganar o usuário e pedir permissão para ser baixado de fora da Loja Google Play. Ele pode obter esta permissão de acesso sozinho.

O que acontece quando um aparelho é infectado?

Assim que o ransomware é baixado, ele envia informações do aplicativo, o IMEI ou o número do aparelho ao servidor de comando e controle. Dependendo do nível de sofisticação do malware, o servidor envia de volta uma chave de criptografia genérica, ou uma chave única e exclusiva para um determinado aparelho, ou simplesmente não retorna nenhuma comunicação. Se uma chave de criptografia for enviada, o aparelho pode ser bloqueado ou os arquivos podem ser criptografados.

O que acontece quando o resgate é pago?

Em alguns casos, os aplicativos não descriptografam os dados mesmo que um resgate tenha sido pago. Já encontramos casos onde o aplicativo descriptografa os dados após o pagamento do resgate e finge que se removeu do aparelho, mas, na realidade, o ransomware permaneceu oculto no aparelho. Enquanto estiver oculto, ele pode permanecer hibernado por algum tempo, enviando apenas informações ao servidor. Neste caso, os cibercriminosos podem enviar um comando e reativar o ransomware depois de algum tempo. Por isso, é absolutamente necessário que quem foi infectado e pagou o resgate baixe um software de segurança antivírus como o Avast Mobile Security, para garantir que o malware foi completamente removido e não poderá ser reativado.

Pranksters x Cybergangs

Estes nomes complicados se referem aos dois grupos de criminosos que distribuem ransomware móvel:

"Trinta por cento do ransomware é distribuído por amadores que desejam conseguir algum dinheiro extra. Este grupo espalha ransomwares que ou não criptografam realmente os aparelhos infectados ou utilizam uma chave de criptografia genérica", diz Filip Chytry. “Os outros 70% dos ransomwares são distribuídos por cibercriminosos e se comunicam com os servidores de comando e controle, que por sua vez enviam uma chave de criptografia única para cada aparelho que infectam. Podemos dizer que há redes organizadas por trás deste tipo de ransomware porque eles dispõem de servidores em todo o mundo e alternam o seu acesso para dificultar às empresas de antivírus o bloqueio das comunicações com o servidor".

O que fazer quando o seu telefone for infectado por ransomware?

Se o seu telefone for infectado por ransomware, infelizmente há pouca coisa que pode ser feita além de pagar o resgate. De maneira geral, desaconselhamos o pagamento do resgate porque ajuda ainda mais aos cibercriminosos a ganhar dinheiro e os encoraja a seguir com seus crimes. Se você for infectado por ransomware que ainda lhe permite baixar e instalar outros aplicativos, tente baixar o Avast Mobile Security para limpar o seu aparelho do ransomware.

Como se proteger do ransomware móvel?

Como dissemos acima, há uma coisa muito importante que você precisa fazer para proteger os seus aparelhos - smartphones, tablets, computadores Windows e Macs - dos ransomwares: instale um antivírus!

Não estamos dizendo isto apenas porque fornecemos soluções para Android, Windows and Macs, mas também porque estas soluções realmente podem proteger o seu aparelho e os seus dados de vários tipos de malwares.

Além de baixar um antivírus, tenha cuidado com o que você faz ao navegar na internet. Não abra links ou anexos de fontes desconhecidas ou suspeitas.

Foto: Charlz Gutiérrez De Piñeres.