A Trend Micro detectou a existência de um ransomware de bloqueio de tela em dispositivos Android, conhecido como “FLocker”, que também é capaz de bloquear Smart TVs.
Desde que o FLocker (identificado como ANDROIDOS_FLOCKER.A, abreviado de “Frantic Locker”) surgiu pela primeira vez em maio de 2015, a Trend Micro reuniu mais de 7.000 variantes no banco de amostras.
O autor do FLocker reescreveu o malware diversas vezes para mudar a rotina da ameaça e assim, evitar a detecção. Ao longo dos últimos meses, a Trend Micro observou oscilações no número de interações liberadas. O último pico em meados de abril, teve mais de 1.200 variantes. A mais recente variante do FLocker, é um trojan que finge ser da Polícia Cibernética dos Estados Unidos e acusa potenciais vítimas de crimes que não cometeram. O trojan cobra uma multa de 200 dólares que deve ser paga em cartões de presente do iTunes.
De acordo com a Trend Micro, se o FLocker atinge um alvo compatível, ele executa sua rotina de 30 minutos após infectar a unidade. Em seguida, inicia o serviço do plano de fundo que imediatamente solicita privilégios de administrador. Se o usuário negar o acesso, ele irá congelar a tela com uma falsa atualização do sistema.
FLocker é executado em segundo plano e se conecta a um servidor de comando e controle (C&C) para receber comandos. O C&C, em seguida, fornece um novo arquivo chamado misspelled.apk e um arquivo HTML de “resgate” com uma interface habilitada para JavaScript (JS). Esta página HTML consegue iniciar a instalação APK, tirar fotos do usuário afetado usando a interface JS e exibir as fotos tiradas, na página de resgate.
Enquanto a tela está bloqueada, o servidor C&C coleta informações do dispositivo, número de telefone, contatos e localização em tempo real. Estes dados são criptografados com uma chave AES codificada e codificados em base64.
O ransomware geralmente atinge os usuários via SMS spam ou links maliciosos. Por isso, a Trend Micro sugere que os usuários sejam cautelosos ao navegar na internet ou receberem mensagens e e-mails de origens desconhecidas.
Se uma TV Android for infectada, a sugestão é que o usuário entre em contato com o fornecedor do dispositivo para avaliar uma solução viável. Outra forma de remover o malware é se o usuário puder ativar a depuração ADB, conectando o seu dispositivo a um PC, iniciar o shell ADB e executar o comando “PM clear %pkg%”. Isso mata o processo do ransomware e desbloqueia a tela. Os usuários podem, em seguida, desativar o privilégio de administração que foi concedido à aplicação e desinstalar o aplicativo do dispositivo.
Com base na análise da Trend Micro, não existe uma grande diferença entre a variante FLocker que pode infectar um dispositivo móvel e a versão atacante de Smart TVs. Quando executado pela primeira vez, o FLocker verifica se o dispositivo está localizado nos seguintes países do Leste Europeu: Cazaquistão, Azerbaijão, Bulgária, Geórgia, Hungria, Ucrânia, Rússia, Armênia e Belarus. Curiosamente, caso o dispositivo esteja localizado em qualquer um destes locais, ele se desativa sozinho.
