Os desenvolvedores de software estão começando a desenvolver malwares muito melhores a medida que as pessoas se tornam um pouco mais educadas em relação a segurança ( apesar de que todos sabemos que não existe como educar o usuário que irá realmente sempre ser pego por alguma forma de engenharia social ).

A má notícia para quem se sente seguro é que os atacantes sempre são tão bons ( ou mais ) que as empresas que tentam proteger o seu aparelho e agora um ransomware bem avançado começou a se espalhar por toda a América.

Primeiro, vamos falar um pouco sobre o que é um Ransomware. Este tipo de malware específico visa conseguir dinheiro dos usuários enganando-os a pagar algumas quantias de dinheiro para recuperação dos seus dados.

Este tipo de ataque é bem comum tanto em dispositivos móveis quanto em desktops e pega inclusive setores públicos, como aconteceu com uma prefeitura brasileira a algum tempo atrás ( fico rindo aqui imaginando o que algum dos usuários abriu para que a prefeitura inteira parasse ).

Mas, no caso do malware que estamos falando a quantia de dinheiro pedida é de pelo menos de 500 dólares que é um valor bem grande principalmente se formos levar em consideração que estamos com um valor de dólar bem alto. E, o mais chato é que ele é um Lockscreen Trojan para o Android, ou seja, ele bloqueará o seu smartphone todinho tirando-lhe totalmente a capacidade de acessar o mesmo.

Este malware que foi descoberto pela ESET e ganhou o nome de Android/Lockerpin.A é bem mais que um simples bug desagradável. Após a infecção bem sucedida o software vai tentar enganá-lo e levá-lo a conceder-lhe direitos de administrador do dispositivo e ele faz isto de forma bem interessante, usando a famosa engenharia social.

Neste caso a tela de privilégio de administrador é coberta com uma janela falsa que afirma ser um patch de atualização e claro, se o usuário for experiente ele vai notar que há algo errado, mas em compensação, se não o for, quando clicar em continuar, vai permitir que o malware tenha total controle do smartphone com privilégios de administrador.

E com estes privilégios ele passará a poder inclusive mudar o seu PIN ( senha ) e com isto não lhe permitir acessar o seu próprio smartphone.

E após algum tempo que foi feita esta “maravilhosa atualização” os usuários afetados serão presenteados com uma janela que tem uma falsa mensagem do “FBI” que afirma que o usuário teve contato com material pornográfico proibido.

E para que os dados sejam liberados o usuário deve pagar uma multa de 500 dólares porque está envolvido em “atividades criminosas”.

Ao tentar fugir da mensagem a sua tela é bloqueada e neste ponto talvez o usuário possa tentar desinstalar o Android/LockerPin.A, mas só tem como fazer isto usando o modo de segurança ou o ADB.

Mas o grande problema desta atividade de resgate é que caso você a inicie um novo número PIN será gerado aleatoriamente e a partir daí, nem mesmo o atacante irá conseguir desbloquear o smartphone.

A única maneira de recuperar o acesso, após esta tentativa de tirar o malware do smartphone é um hard reset, ou seja, recuperação do estado que o smartphone tem quando sai de fábrica.

Claro que isto é muito chato, mas … no caso de um problema destes é o mais indicado tendo em vista que, mesmo tirando todos os arquivos ainda pode ficar algo e depois de algum tempo você vir a ter problemas novamente com o seu smartphone.

A parte mais genial deste ransomware é que ele tem alguns mecanismos de defesa que estão inseridas no seu código.

Por exemplo, ao tentar tirar os direitos de administração do Android/LockerPin.A o malware simplesmente irá reativar estes direitos.

E, além disto, o software é muito inteligente e tenta matar todos os processos de antivírus da ESET, Avast e Dr. Web, que são os mais utilizados em ambiente Android.

Por mais que eu ache uma bomba este tipo de problema e software a genialidade com que ele foi construído é realmente digna de respeito.

Aos usuários fica a dica para nunca baixar arquivos de locais fora da Play Store ou sites do fabricante e, finalmente, somente confiar em atualizações de segurança vindas do seu fabricante do smartphone ou então  do desenvolvedor da sua ROM.

Isto porque a própria ESET disse que as infecções não ocorreram ao baixar aplicativos da Google Play Store e sim de fontes externas a loja do Google.

Não vi nenhum caso deste tipo de ataque aqui no Brasil, mas acredito que não demore a chegar em território nacional.

Quanto ao caso da prefeitura que foi noticiado em todo o território nacional como “ataque de hackers” foi algo parecido com este ransomware com a diferença que foi feito para desktops e não dispositivos móveis.

Via ESET