A nova variante do
malware, da qual foram detectadas mais de 80 amostras, é baixada e instalada
por meio de redes sociais e mensagens instantâneas como um aplicativo de
reprodução de vídeo
Os pesquisadores daCheck Point® Software Technologies Ltd. (NASDAQ:
CHKP), fornecedora global líder em soluções de cibersegurança, descobriram
uma nova variante de malware para Android chamada “Black Rose Lucy”, que foi
vista pela primeira vez em setembro de 2018. No total, os pesquisadores da
empresa detectaram 80 amostras da nova variante “Black Rose Lucy” escondidas em
aplicativos de reprodução de vídeo que, aparentemente, pareciam inofensivos,
aproveitando o serviço de acessibilidade do Android para instalar sua carga de
dados sem qualquer interação do usuário e criar um mecanismo interessante de
autoproteção.
A “Black Rose Lucy” é uma ferramenta MaaS (Malware como Serviço)
originada na Rússia e permite que novas variantes do ransomware sejam baixadas
nos dispositivos infectados. Após o download, este malware criptografa os
arquivos no dispositivo infectado e exibe uma nota de resgate na janela do navegador
que finge ser uma mensagem oficial do FBI (Federal Bureau of Investigation dos
Estados Unidos), acusando a vítima de possuir conteúdo pornográfico no
dispositivo. Além disso, é indicado que os dados do usuário foram inseridos no
Data Center do Departamento de Crimes Cibernéticos do FBI com uma lista dos
crimes que o usuário supostamente cometeu. Para resolver essa situação, os
cibercriminosos estão pedindo uma "multa" de US$ 500 com pagamento
via cartão de crédito e não com o Bitcoin, que é a forma mais comum de
pagamento para resgates móveis.
Como essa variante de malware funciona?
O Android permite apenas que os usuários façam a configuração
manual de um aplicativo para ter privilégios de administrador no dispositivo.
Para fazer isso, solicita o consentimento explícito do usuário em uma janela
pop-up ou navega por uma série de configurações do sistema antes que esses
privilégios sejam concedidos. No entanto, o serviço de acessibilidade desse
sistema operacional, que imita cliques na tela do usuário e tem a capacidade de
automatizar interações com o dispositivo, pode ser usado pelo malware para
contornar essas restrições de segurança. Esses serviços de acessibilidade
geralmente são usados para automatizar e simplificar determinadas tarefas
repetidas.
A “Black Rose Lucy” usa um método engenhoso para invadir
dispositivos Android e superar seus níveis de defesa. Ele exibe uma mensagem
pedindo ao usuário para ativar a otimização de vídeo em tempo real. Ao clicar
em 'OK', o usuário concede permissão ao malware para usar os serviços de
acessibilidade. Os pesquisadores da Check Point apelidaram esse procedimento de
"calcanhar de Aquiles” nas camadas de defesa do Android". A ordem das
operações é a seguinte:
1. A variante “Black Rose Lucy” é baixada e instalada como um
aplicativo player de vídeo;
2. O objetivo é enganar o usuário para permitir um serviço de
acessibilidade e fingindo habilitar um serviço falso, VSO - otimizador de
transmissão de vídeo;
3. Ao clicar em "OK" na mensagem exibida, o usuário
concede ao malware a permissão para usar o serviço de acessibilidade;
4. A partir disso, a “Black Rose Lucy” está pronta para iniciar
seu plano malicioso de criptografar os dados e arquivos no dispositivo da
vítima, armazenando a chave de criptografia nas preferências compartilhadas;
5. Finalmente, o malware mostra uma nota de resgate na qual relata
uma "multa" imposta pelo FBI, exigindo também informações do cartão de
crédito para pagar.
“Atualmente, vemos uma evolução no ransomware, em que o malware
móvel é mais sofisticado e os cibercriminosos aprendem cada vez mais rápido,
aproveitando a experiência de campanhas anteriores. Um exemplo claro é o uso de
nome como o do FBI como uma tática de intimidação”, explica Aviran Hazum,
diretor de investigação de ameaças móveis da Check Point. “É uma realidade que,
mais cedo ou mais tarde, os ambientes de dispositivos móveis sofrerão um grande
ataque de ransomware. Por esse motivo, na Check Point, recomendamos tomar
precauções extremas com aplicativos móveis, realizando download apenas de sites
oficiais, mantendo sempre o sistema operacional e os aplicativos do dispositivo
atualizados e contando com ferramentas de segurança instaladas",
acrescenta Hazum.
Proteção contra ameaças
A Check Point disponibiliza produtos como o SandBlast Mobile, uma
solução contra ameaças móveis avançadas com infraestrutura de proteção de rede
no dispositivo. Ao revisar e monitorar todo o tráfego de rede do dispositivo, o
SandBlast Mobile evita ataques de roubo de informações em todos os aplicativos,
e-mail, SMS, iMessage e aplicativos de mensagens instantâneas. Esta solução
também impede o acesso a sites mal-intencionados, bem como o acesso e a comunicação
do dispositivo com botnets, para os quais valida o tráfego no próprio
dispositivo sem rotear os dados por meio de um gateway corporativo.
Check Point Software Technologies Ltd.
Nenhum comentário:
Postar um comentário