Cibercriminosos usam plataforma de desenvolvimento integrado Android para criar ransomwares

todos os anos novas ameaças surgem com o intuito de melhorar antigas ferramentas de invasão e roubo de dados e tornar o mercado cada vez mais lucrativo para cibercriminosos. Dessa vez, a técnica consiste em utilizar uma ferramenta legítima para atingir usuários Android.

De acordo com a Symantec, os cibercriminosos estão usando a plataforma de desenvolvimento integrado Android (AIDE) para criar ransomwares. A vantagem da ferramenta é sua flexibilidade e capacidade de rápida modificação de código.

Com isso, os agentes maliciosos podem criar facilmente malwares pertencentes à família Android.Lockdroid.E, gerados a partir de dispositivos equipados com o OS. A plataforma AIDE é usada para desenvolver aplicações móveis diretamente em um dispositivo Android.

Apesar de o uso dessas novas técnicas estar limitado a um pequeno grupo, afirma a Symantec, a capacidade de criar malware em dispositivos móveis pode abrir caminhos para o surgimento de novos ataques do mesmo tipo no futuro.

Mesmo um desenvolvedor inexperiente, por exemplo, pode modificar apenas algumas linhas do código diretamente no manipulador do dispositivo, como a senha de e-mail, e criar uma nova variante a partir do código existente. Por outro lado, um autor de malware experiente pode usar o software para criar um ransomware, sem a necessidade de um computador portátil.

Uma vez instalado no dispositivo móvel, o  ransomware tipicamente bloqueia a tela da vítima e cria uma janela pela qual avisa ao usuário que, caso queira desbloquear os aparelhos, é preciso entrar em contato com o atacante por meio do serviço de mensagens instantâneas. Em seguida, é exigido o pagamento de um resgate para que os dispositivos sejam desbloqueados.

Neste caso, a senha necessária para desbloquear o aparelho está codificada dentro de uma variável do código do malware, enquanto a identificação do cibercriminoso está embutida em outra variável.

Outra nova variante do ransomware, também descoberta recentemente pela Symantec, é conhecida como Locky (Trojan.Cryptolocker.AF). O malware apareceu pela primeira vez em meados de fevereiro e tem se espalhado rapidamente por meio de campanhas de spam em massa e sites comprometidos.

Em uma ação agressiva, os atacantes enviaram milhões de mensagens spam já no primeiro dia do surgimento desse ransomware. É a principal via de infecção e normalmente os e-mails vêm disfarçados de faturas. Documentos de Word anexados levam a um macro malicioso, identificado como W97M.Downloader. Se o usuário abrir tal macro, será instalado o Locky no computador da vítima.

A campanha de spam do Locky envolveu uma operação em escala maciça. O sistema anti-spam da Symantec bloqueou mais de 5 milhões de e-mails associados a esse ransomware em apenas um dia. O Locky criptografa arquivos nos computadores das vítimas e instala a extensão de arquivo .locky. O valor para resgate dos dados varia entre 0,5 a 1 bitcoin (cerca de US$ 210 a US$ 420).