Trend Micro identifica ransomware que ataca Smart TVs e dispositivos Android

A Trend Micro detectou um ransomware de bloqueio de ecrã em dispositivos Android, conhecido como “FLocker”, que também é capaz de bloquear Smart TVs. Este é um dos preços do uso de uma única plataforma em vários dispositivos, caso um malware afete um equipamento, eventualmente, a mesma ameaça pode ser aplicada aos outros aparelhos conectados.

De acordo com a empresa, desde que o FLocker (identificado como ANDROIDOS_FLOCKER.A) surgiu pela primeira vez em maio de 2015, que a Trend Micro reuniu mais de 7 mil variantes no banco de amostras.

A mais recente variante do FLocker é um trojan que finge ser da Polícia Cibernética ​​dos Estados Unidos e acusa potenciais vítimas de crimes que não cometeram. O trojan cobra uma multa de 200 dólares que deve ser paga em vales-oferta do iTunes.

Com base na análise da Trend Micro, não existe uma grande diferença entre a variante FLocker que pode infectar um dispositivo móvel e a versão que ataca Smart TVs.

Para evitar a análise estática, o FLocker esconde o código em arquivos de dados brutos dentro da pasta “ativos”. O ficheiro criado é nomeado “form.html” e é parecido com um ficheiro normal.

Enquanto o ecrã está bloqueado, o servidor C&C recolhe informações do dispositivo, número de telefone, contatos e localização em tempo real. Esses dados são criptografados com uma chave AES codificada e codificados em base64.

O ransomware geralmente atinge os utilizadores via SMS spam ou links maliciosos. Por isso, a Trend Micro sugere que os utilizadores sejam cautelosos ao navegar na internet ou ao receberem mensagens e e-mails de origens desconhecidas.

Como remover o FLocker da sua Smart TV?

Se uma TV Android for infectada, a sugestão da Trend Micro é que o utilizador entre em contato com o fornecedor do dispositivo para avaliar uma solução viável. Outra forma de remover o malware é se o utilizador puder ativar a depuração ADB, conectando o dispositivo a um PC. Após efectuar a ligação, deve iniciar o shell ADB e executar o comando “PM clear %pkg%”. Isto mata o processo do ransomware e desbloqueia o ecrã. Os utilizadores podem, em seguida, desativar o privilégio de administração que foi concedido à aplicação e desinstalar o aplicativo do equipamento.