Ransomware FLocker mira Smart TVs e dispositivos Android

Um novo ransomware foi identificado pela empresa de segurança Trend Micro. A ameaça, chamada de FLocker, tem como principais alvos Smart TVs e dispositivos Android. Com base na análise da Trend Micro, não existe uma grande diferença entre a variante FLocker que pode infectar um dispositivo móvel e a versão atacante de Smart TVs.

Desde que o FLocker (identificado como ANDROIDOS_FLOCKER.A, abreviado de “Frantic Locker”) surgiu pela primeira vez em maio de 2015, a Trend Micro reuniu mais de 7 mil variantes no banco de amostras.

Porém, como constatado pela empresa, o autor reescreveu o malware diversas vezes para mudar a rotina da ameaça e assim, evitar a detecção. Ao longo dos últimos meses, a Trend Micro observou oscilações no número de interações liberadas. O último pico em meados de abril, teve mais de 1,2 variantes.

Para evitar a análise estática, o FLocker esconde seu código em arquivos de dados brutos dentro da pasta “ativos”. O arquivo criado é nomeado “form.html” e se parece com um arquivo normal.

Com isso, nenhum comportamento mal-intencionado pode ser identificado e o malware pode escapar da análise estática do código. Quando o malware é executado, ele decifra o “form.html” e executa o código malicioso. 

O ransomware geralmente atinge os usuários via SMS spam ou links maliciosos. Por isso, a Trend Micro sugere que os usuários sejam cautelosos ao navegar na internet ou receberem mensagens e e-mails de origens desconhecidas.

A mais recente variante do FLocker, é um trojan que finge ser da Polícia Cibernética dos Estados Unidos e acusa potenciais vítimas de crimes que não cometeram. O cavalo de troia cobra uma multa de US$ 200, a qual deve ser paga em cartões de presente do iTunes.

Soluções 
Se uma TV Android for infectada, a sugestão é que o usuário entre em contato com o fornecedor do dispositivo para avaliar uma solução viável. 

Outra forma de remover o malware é se o usuário puder ativar a depuração ADB, conectando o seu dispositivo a um PC, iniciar o shell ADB e executar o comando “PM clear %pkg%”. Isso mata o processo do ransomware e desbloqueia a tela. 

Os usuários podem, em seguida, desativar o privilégio de administração que foi concedido à aplicação e desinstalar o aplicativo do dispositivo.