New Unusual Android Ransomware

Novo Ransomware Android Incomum

Aplicação apresentada como Flash Player para Androids utiliza protocolo de mensagens instantâneas (Também conhecido como XMPP) para comunicar com servidores C&C.

Pesquisas recentes pela Check Point Software Technologies revelaram que este malware é diferente de todos os outros ransomwares móveis devido a este método singular de comunicação com os servidores. Utiliza Envio de Mensagens Extensível e Protocolo de presença de forma a comunicar com os servidores C&C.

Aqui está o que os investigadores descobriram:

O nosso Ransomware tem uma nova abordagem às suas comunicações. Utiliza um protocolo comum de mensagens instantâneas chamado XMPP (Envio de Mensagens Extensível e Protocolo de Presença) para enviar informação do dispositivo infetado e para receber comandos como a encriptação de ficheiros do utilizador com uma dada chave de encriptação, enviar um SMS, ligar a um número telefónico, etc.

Utilizar o XMPP torna muito mais difícil aos dispositivos de segurança registarem o tráfego C&C de malware bem como distinguirem-no de outro tráfego XMPP legítimo. Também torna impossível bloquear tráfego através da monitorização de URLs suspeitos. Mais ainda, uma vez que esta técnica usa funções de bibliotecas extenas para lidar com a comunicação, o malware não requer que qualquer aplicação adicional seja instalada no dispositivo. Uma vez que o XMPP suporta TLS, a comunicação entre o cliente e servidor também está nativamente encriptada.

Não é muito difícil encontrar-se nesta situação – quando descarrega e instala (concorda com todos os termos e condições, cede todas as permissões necessárias, etc.) este Flash Player falso, a maior parte da sua informação armazenada no dispositivo móvel irá ser encriptada imediatamente.

Como saber se o seu dispositivo está infetado? Bem, antes de mais, irá ver uma imagem como esta (ver a imagem abaixo):

Mais ainda, irá receber uma SMS com um alerta que afirma que se falhar em pagar o resgate nas próximas 48 horas, irá ser triplicado. Esta é uma ameaça clássica para assustar os utilizadores e fazer com que façam o pagamento.

Apesar da maioria dos dispositivos infetados com este ransomware estarem localizados nos EUA, alguns deles estão também na Europa e Ásia. Neste momento quase 10 porcento das vítimas já pagaram o ransomware. O resgate mais baixo é de $200 e pode ir até $500.

Se o seu dispositivo está infetado com este ransomware, não recomendamos que pague o resgate. Mesmo que o pague, não há garantias de que os seus ficheiros sejam desencriptados.