MWC | Eset avisa para a internacionalização do ransomware em Android

Ana Rita Guerra,

A empresa de segurança Eset lançou hoje no Mobile World Congress o novo relatório “The Rise of Android Ransomware”, no qual analisa as principais tendências deste tipo de ataque que está em crescimento.

O ransomware é um método através do qual os atacantes tomam controlo do aparelho e bloqueiam o seu acesso pelo utilizador, exigindo um pagamento em troca da chave para dissolver a encriptação criminosa. Um dos fenómenos que a Eset identifica é a “internacionalização” do ransomware, algo que começou a acontecer recentemente. “O foco dos invasores deixou de ser apenas países da Europa de Leste. Mais especificamente, têm sido detetadas diversas formas de ramsomware, como o Android/Simplocker e Android/Lockerpin, nos Estados Unidos”, informa o relatório.

De acordo com analistas de segurança nos EUA, a maioria destes resgates não implica somas elevadas – são em torno de 300 dólares. Muitas vezes as vítimas acabam por pagar o montante, contrariando os conselhos das autoridades para nunca aceitarem a chantagem: é que quanto mais vítimas pagam, mais lucrativo o sistema se torna.

Simplocker encripta os dados do aparelho, enquanto o Lockerpin bloqueia o código de acesso, além dos bloqueares do ecrã. “O ransomware ameaça cada vez mais os utilizadores Android e continua a manter os investigadores de segurança muito ocupados”, sublinha a Eset.

Os métodos usados para ganharem acesso ao aparelho têm evoluído nos últimos anos, mas nota-se a adesão a técnicas que provaram ser eficientes em desktop no passado. Um exemplo nos bloqueadores de ecrã é os piratas fazerem-se passar pela polícia, FBI ou até NSA, dizendo que o telemóvel foi bloqueado devido a suspeitas contra o utilizador e exigindo um pagamento de 500 dólares.

Estas ameaças encriptam os dados, o que significa que não basta removê-las para voltar a aceder às informações do smartphone. Noutros métodos, os códigos maliciosos usados fazem-se passar por aplicações legítimas: o relatório mostra um caso em que a app legítima da Avast foi parasitada, outro que afetou o Android Defender, e ainda outro em que os piratas se esconderam numa app igual à do site para adultos PornHub.

“Com a crescente transição dos computadores para dispositivos móveis, cada vez mais dados são armazenados nos equipamentos que levamos connosco para todo o lado. Por esta razão, o ransomware Android é cada vez mais vantajoso para os atacantes,” explicou Robert Lipovsky, investigador na Eset. A empresa tem vários eventos agendados para esta semana no MWC e um site dedicado à presença na feira de tecnologia móvel de Barcelona.

“Para utilizadores de dispositivos Android, é importante estar consciente das ameaças do ransomware, assumir medidas preventivas e ter uma solução de segurança instalada”, aconselha. “Algumas das mais importantes medidas incluem evitar usar lojas de aplicações não oficiais e possuir uma app de segurança móvel atualizada. Além disso, é importante ter um backup funcional de todos os dados importantes no dispositivo.”

Além do bloqueio seguido de resgate, o ransomware Android também suporta outros tipos de comandos, tais como:

  • abrir endereços no navegador de forma arbitrária
  • enviar um SMS a qualquer contacto
  • apoderar-se dos SMS recebidos
  • copiar os contactos
  • fazer update para uma nova versão
  • ligar ou desligar os dados móveis
  • ligar ou desligar o Wi-Fi
  • seguir a localização GPS do utilizador

O relatório pode ser consultado aqui, em inglês.